一些新的能力正在增強(qiáng)ZeuS僵尸網(wǎng)絡(luò)。犯罪分子利用這個僵尸網(wǎng)絡(luò)在網(wǎng)上銀行、自動清算中心網(wǎng)絡(luò)和工資管理系統(tǒng)上竊取金融證書和執(zhí)行非授權(quán)的代碼。這個最新版本的犯罪工具(起始售價(jià)大約3000美元)提供了一個1萬美元的模塊，能夠讓攻擊者完全控制被攻破的計(jì)算機(jī)。

SecureWorks本星期發(fā)表了有關(guān)ZeuS僵尸網(wǎng)絡(luò)的深入的報(bào)告。SecureWorks威脅情報(bào)經(jīng)理Don Jackson說，Zeus v.1.3.4.x(作者和擁有者一直在改變代碼，據(jù)說這個作者是一個東歐人)在這個僵尸網(wǎng)絡(luò)中集成了一個強(qiáng)大的遠(yuǎn)程控制功能，因此攻擊者現(xiàn)在能夠完全控制用戶的電腦。

Jackson說，ZeuS僵尸網(wǎng)絡(luò)的這個新功能為它提供了GoToMyPC等合法產(chǎn)品中才有的遠(yuǎn)程控制能力。SecureWorks把這個能力稱作“total presence proxy”(完全存在代理)。這個功能對于犯罪分子是非常有用的。僅僅這個ZeuS僵尸網(wǎng)絡(luò)的VNC模塊就值1萬美元。

基于Windows的ZeuS木馬軟件(在被攻破的Windows計(jì)算機(jī)中占大約5萬字節(jié)空間)旨在通過受害者的計(jì)算機(jī)竊取北美和英國銀行系統(tǒng)的賬戶。犯罪分子也許遠(yuǎn)在其它洲，通過一個精細(xì)的指揮控制系統(tǒng)指揮非授權(quán)的資金轉(zhuǎn)撥。

Jackson說，ZeuS至少是在2007年就出現(xiàn)了，原來是一個間諜軟件木馬程序。這個軟件賣得很好并且隨著各種僵尸網(wǎng)絡(luò)的傳播而流行起來。

一個名為UpLevel的組織原來曾合作研究ZeuS的源代碼。但是目前，研究人員懷疑ZeuS只有一個作者。這個人目前采用基于硬件的版權(quán)保護(hù)機(jī)制嚴(yán)密地控制著ZeuS 1.3和以后版本的軟件。

SecureWorks研究人員Kevin Stevens說，ZeuS基于硬件的版權(quán)保護(hù)機(jī)制是基于一種類似于WinLicense的硬件令牌方式，解鎖ZeuS Builder工具代碼需要考慮許多硬件細(xì)節(jié)因素。

老版本的ZeuS是免費(fèi)提供的。但是，目前版本的ZeuS及其模塊自從去年年底推出以來價(jià)格并不便宜。據(jù)SecureWorks稱，在地下網(wǎng)絡(luò)犯罪市場，詐騙分子通常經(jīng)過Western Union或者Web Money支付犯罪軟件的貨款。

據(jù)SecureWorks本星期發(fā)表的一篇報(bào)告稱，基本的ZeuS Builder工具價(jià)格為3000至4000美元，“回連”模塊再加1500美元。這個模塊可以把被感染的計(jì)算機(jī)連接回來，以便利用那臺計(jì)算機(jī)做金融交易。這意味著設(shè)法跟蹤轉(zhuǎn)賬者的銀行永遠(yuǎn)只能回溯到賬戶持有者的計(jì)算機(jī)。為了破解Windows 7或Vista計(jì)算機(jī)，犯罪分子必須額外支付2000美元，否則只能攻擊Windows XP系統(tǒng)。

一個“火狐瀏覽器表格抓取器”需要再加2000美元。這個工具能夠讓犯罪分子獲取使用火狐瀏覽器的用戶在信息欄中輸入的數(shù)據(jù)，如銀行賬戶的用戶名和口令等。一個“Jabber即時(shí)消息聊天通知器”需要再加500美元。這個工具能夠讓攻擊者立即獲得竊取的數(shù)據(jù)，以便在受害者使用銀行隨機(jī)提供的令牌登錄之后進(jìn)入受害者的賬戶。而VNC模塊能夠讓攻擊者繞過大額交易需要的任何智能卡，售價(jià)為1萬美元。

Jackson指出，這個最新版本的軟件還設(shè)計(jì)用于突破銀行系統(tǒng)使用的雙因素身份識別和其它身份識別方式等最新的防御措施，專門針對10萬美元以上的交易。

Jackson說，Zeus能自動檢測與網(wǎng)上銀行服務(wù)有關(guān)的頂級黃金客戶目標(biāo)。信號被傳遞給僵尸網(wǎng)絡(luò)的控制者，一個高度自動化的交易就能夠把資金轉(zhuǎn)到攻擊者希望的賬戶。

當(dāng)大筆資金轉(zhuǎn)到銀行不能索回的賬戶的時(shí)候，有許多企業(yè)投訴非授權(quán)的自動清算中心轉(zhuǎn)款或者自動工資管理系統(tǒng)中增加了假冒的員工。

Jackson說，最新版本的ZeuS繞過了目前銀行使用的大多數(shù)高級在線身份識別機(jī)制，也許只有至少需要兩人批準(zhǔn)的交易流程除外。這種兩人批準(zhǔn)流程常常是從經(jīng)過這種培訓(xùn)的人員中隨機(jī)選擇兩人執(zhí)行交易。他們采取人工授權(quán)的方式進(jìn)行交易。他說，這是一種軍備競賽。

即將推出的ZeuS 1.4版目前仍是測試版，不過，這個軟件承諾有更強(qiáng)的的功能。例如，它的“Web Injects for Firefox”(火狐Web注入攻擊)能力能夠讓攻擊者在火狐瀏覽器顯示一個窗口，在銀行交易過程中假冒銀行要求提供信息引誘用戶輸入更多的敏感信息。ZeuS木馬程序還將進(jìn)行多態(tài)加密以便重新加密自己，每一次都以獨(dú)特的方式出現(xiàn)，從而使殺毒軟件很難檢測到它。

【編輯推薦】

1. 僵尸網(wǎng)絡(luò)：吞噬電信網(wǎng)流量的黑色暗流
2. 從發(fā)現(xiàn)Kneber僵尸網(wǎng)絡(luò)揭秘惡意軟件黑幫