Half miljoen pc's uit ZeroAccess-botnet bevrijd

GOTO B IF "RUNNING LINUX"

ZeroAcces ook wel bekend als Sirefef en iets minder bekend als max++ is een rootkit van de voorlaatste generatie en heeft sporen op ongeveer 5% van alle consumers PC's wereldwijd.
(het aantal actieve slaven in de verschillende botnets is natuurlijk een stuk kleiner)

De bitcoin mining en clickfraud word niet uitgevoerd door ZeroAcces zelf. De enige functie van ZeroAcces is om altijd een backdoor op een windows PC te hebben waarvia elke vorm van malware kan worden geplaats op de PC in kwestie. De hoofd taken van ZeroAcces zijn dus de volgende:

• [i] Mogelijkheid tot download van malware en deze code uit te voeren op het systeem van de host[/i]
• aanwezigheid nooit opvallend merkbaar op OS voor de gebruiker, in tegenstelling tot de malware. Het is dus goed mogelijk dat een gebruiker ZeroAcces heeft maar geen malware en er dus nooit achter zal komen dat zijn computer eigenlijk een slaafje in hibernation is die op elk moment geactiveerd kan worden en bijvoorbeeld mee kan doen aan een ddos zonder dat de gebruiker hier iets van merkt
• Onzichbaar zijn voor gebruiker die naar verdachte dingen zoekt op zijn eigen harde schijf
• Terugvechten tegen AV
• Altijd een plan B hebben om toch aanwezig te blijven nadat de AV plan A heeft verwijdert
• Wanneer dormant, altijd de mogelijkheid om via het internet commando's te ontvangen en terug actief te worden en eventueel een update te krijgen.
• Wanneer de AV een update binnenkrijgt zou ZeroAcces al een update gekregen moeten hebben om nieuwe detectie te voorkomen. Het is het grootste kat en muis spel in de digitale wereld. En omdat de meeste gebruikers geen verstand hebben van hun computers is het een strijd die gewonnen word door de rootkits.

En het gaat ook niet om een heel groot botnet maar verschillende kleintjes die elk door ander groepen worden beheert. De uitgelekte ZeroAcces variant gebruikt code en technieken die in de uitgelekt source code van Zeus stonden. Met andere woorden, iedereen kan een ZeroAcces builder downloaden en zelf aan de slag gaan. Echter dit zal niet resulteren in een succesvol botnet. Je moet een verdraaid gewiekste programmeur zijn voor een succesvol botnet. En dan moet je nog een beetje kwaadaardig zijn, want anders heb je wel 10 000 computer slaafjes maar dan weet je nog niet waar je er mee moe doen.



Er zijn maar een 3tal succesvolle programmeurs die effectief succesvolle ZeroAcces varianten hebben gebouwd. Twee uit oost Europa en een uit Rusland. Die uit Rusland heeft het grootste botnet, wat hij verhuurd en dus lekker geld verdiend zonder de bijbehorende gevaren van cyberciminaliteit. De kerel of groep programmeurs uit Rusland is ook de oorspronkelijke bedenker en designer van ZeroAcces. Na het uitlekken van de Zeus code is hij ook begonnen met Zeus code te gebruiken en heeft hij uiteindelijk ook minder goede varianten van zijn eigen source code verkocht. Die zijn dan ook weer uitgelekt en dus kan iedereen zijn eigen ZeroAcces bouwen. Echter, er zijn dus maar drie builds die ECHT goed in elkaar steken en het winnen van de AV sofware omdat ze de hele tijd worden herschreven en de clients allemaal verschillende heuristics hebben. De grootste klant van het Russische netwerk heeft het grootste netwerk tot zijn beschikking. Dit zijn de bijna 2 miljoen PC's waar Symantec het over heeft. Deze klant verdient geld met click fraud en bitcoinmining en huurt het grootste deel van het ZeroAcces netwerk van de Russen en beheert het ook zelf. Het resterende deel word als een betalende service aangeboden maar staat onder beheer van de Russen zelf. Iedereen in de wereld kan wat slaves huren voor een dag als je wat bitcoins hebt en er zijn zelfs al resellers. Het grote verschil met het bitcoin/clickfraud gedeelte is dat je nooit direct acces krijgt maar alleen betaald voor een service. Zoals: Leg website A voor een dag plat door een ddos van 1000 bots.
En dan zijn er dus nog twee andere grote netwerken uit een aantal oost europeze landen. Voornamelijk Roemenië en Polen. Deze houden zich het meeste bezig met geld stelen via online banking en richt zich voornamelijk op de westerse Europese landen. En dus niet de states.

ZeroAcces word door antivirus software vaak "Persistent malware" genoemd. En er zijn zelfs een aantal varianten die een quick format en reinstal van Windows overleven.

ZeroAcces maakt een virtuele harde schijf aan op een stukje echte harde schijf en alles wat ZeroAcces daar op plaats word versleuteld en is niet te zien door het OS.

Vervolgens worden er een aantal storagedrivers van windows uitgekozen die nodig zijn communicatie tussen de firmware van je harde schijf en het OS. Denk aan AHCI drivers, of RAID drivers. Wanneer deze drivers uitgekozen zijn word er eerst een schone kopie gemaakt van deze drivers op het stukje virtuele harde schijf.

Dan worden de echte drivers geïnfecteerd (hooks). Na een reboot zit er een extra laag tussen OS en harde schijf. Op deze laag opereert ZeroAcces. Feitelijk hetzelfde als DeepFreeze doet. De harde schijf die Windows ziet is nu eigenlijk virtueel. ZeroAcces beheert de echte harde schijf.


Elke keer als antivirus software een scan van de geïnfecteerde drivers wilt doen dan vangt ZeroAcces dit op en presenteert de antivirus software de schone bestanden van zijn geheime virtuele harde schijf. De AV denkt dan dat alles OK is.

Op die manier is detectie in een live omgeving dus heel moeilijk want je hele systeem spant tegen je samen en is niet meer te vertrouwen.

Er is echter wel detectie mogelijk door naar tijdsverschillen te kijken wanneer je API calls doet en dergelijke. Een goede rootkit detector vraagt dan op verschillende manieren toegang tot een driver waarvan vermoed word dat het geïnfecteerd is en als het OS er langer over doet dat het rechtstreeks aanspreken via eigen drivers van de rootkitdetector dan is er een aanwijzing om te vermoeden dat er een extra laag actief is.

De laatste versie die ik bij klanten tegengekomen ben van ZeroAcces plaatst zich in de Appdata - local profile - google - desktop en maakt gebruik van ascii tekens waar windows een probleem mee heeft. Deze variant is niet zo moeilijk te verwijderen.

Maar omdat ZeroAcces volledig te customizen valt kunnen alleen de meeste bekendste varianten gedetecteerd worden.

Wat het aller beste werk tegen elke vorm van rootkits die geladen worden vanaf je harde schijf (en zich dus niet nestelen in de bios, wat praktisch onmogelijk is, of andere rom's die toch toelaten dat er op geschreven word, wat in de praktijk zelden voor komt omdat elke PC andere hardware heeft) is Hitman Pro met Kickstart.

Kickstart laad je vanaf CD of usb drive. (dus je selecteert die als boot device en niet je harde schijf)
Vervolgens laad Kickstart je OS, en dus by past het alle geïnfecteerde drivers. Kickstart heeft een groot aantal drivers beschikbaar en maakt ook gebruik van de cloud om er achter te komen welke bestanden clean zijn en niet. Kickstart werkt erg goed tegen randsomware en hele agressieve malware die je hele OS gijzelt. Deze malware is dus niet ZeroAcces, maar kan wel worden geplaatst door ZeroAcces.

Deze botnets worden steeds slimmer en moeilijker om te vernietigen. Er zijn er al een flink aantal die hun communicatie onderling en naar de command en control servers volledig via Tor en hidden services doet. Op die manier is het uiterst moeilijk om achter het IP en locatie van de command en control server te komen. En word alle onderlinge communicatie via P2P verstuurd en versleuteld. Je ISP kan het dus niet onderscheiden van legitiem P2P torrent verkeer.

De drie meest gebruikte technieken voor windows rootkits zijn

Binary Rootkits, Library Rootkits en Kernel Rootkits.

Ik ga daar niet te veel over uitwijden, je vind meer info hier --> http://nicolascormier.com...curity/RootkitsReport.pdf


En nu natuurlijk de belangrijkste vraag. Hoe voorkom ik een rootkit besmetting?. En hoe weet ik zelf of ik besmet ben en wat kan ik er tegen doen?
Aller eerst, deze rootkits worden niet verspreid voor worms en expoits op TCP/IP niveau.
99% van deze rootkits komen op je PC door drive by downloads. Met andere woorden je surft naar een besmet domein of IP en java of javascript of flash of silverlight of wat voor vorm ook van code execution zorgt ervoor dat een programma word uitgevoerd door windows. Wanneer je je browser in een goede sandbox uitvoert ben je dus al redelijk beschermt!
Dit is echter geen oplossing voor de meeste gebruikers en maakt je systeem ook trager.

Met noscript en ad block plus met malware domains ben je dus al stuk veiliger maar daar geef je wel een hoop functionaliteit van website voor op. Wat beter werk is een code blokker met een whitelist van domeinen die wel code mogen uitvoeren.

Het zijn meestal meer de mensen die altijd op ja klikken en op de meest vage websites belanden in de oneindige zoektocht naar porno en streaming series die makkelijk geinfecteerd worden.
20% van onze nieuwe klanten hebben het op een of meerdere van hun computers. Onze klanten hier in het uitgestrekte Alberta zijn niet zo erg goed met computers. Maar daarom hebben wij natuurlijk lekker veel werk.

Enfin, wij gebruiken naast onze eigen tools de volgende publieke tools voor rootkit detectie en verwijdering.

Allereerst een goed werkende kickstart op CD/DVD en usb drive van het denk ik nederlandse bedrijf Surfright dat ooit gestart is met Hitman pro. Tegenwoordig een zeer goed werkende antivirus detectie systeem met zijn cloud based detectie (alle gebruikers uploaden hun systeem kritische bestanden naar de cloud en door hash vergelijking kan er makkelijk achter gekomen worden welke systeem bestanden clean zijn en niet)

Dan FalconFour's Ultimate Boot CD --> http://falconfour.com/projects/7
Zet het op een snelle usb stick die groot genoeg is en zorgt dat hij vlot kan booten.
Heeft super veel tools voor analyse en het schoonmaken van een systeem. Maar wanneer infectie te diep is en er teveel driver infectie is dan rest er maar een ding en dat is een offline image maken voor backup en dan een hdd erase en reinstall.

En dan de volgende software die ook vanuit een al dan niet besmet systeem gestart kan worden. Echter, je kunt de resultaten dan nooit helemaal vertrouwen. Wij noemen dat een "compromised systeem". Het OS werkt tegen je en dus kun je geen enkel programma dat het OS laad nog helemaal vertrouwen.


De hoofd regel met de volgende tool is deze: Vertrouw niet op het resultaat van eentje. Er zijn talloze succesvolle varianten van elke gekende rootkit. Stel dat je een rootkit hebt die maar een 1000 tal slaafjes heeft en jij bent daar een van. Dan is de kans klein dat er samples bij de rootkit detectors (antivirus bedrijven) terecht zijn gekomen en dus is detectie door deze tools niet mogelijk als het mechanisme waarmee de rootkit zich verstopt en verdedigt anders is als de hoofd varianten. In dit geval is er maar een oplossing. En dat is booten zonder de MBR of files te laden die besmet kunnen zijn. Kickstart is daar een goede oplossing voor. Maar met FalconFour's Ultimate Boot CD kun je ook offline natuurlijk al je bestanden controleren en in ieder geval je OS terug brengen in een staat waar je het vertrouwd.
Bij een meervoudige infectie van Windows is er maar een oplossing die 100% veilig is.
SecureHDD erase en daarna een nieuwe windows install. Doe je alleen een format dan zijn er bepaalde rootkits die truukjes hebben om je bios meteen te laten verwijzen naar hun master boot record code die de format heeft overleefd. Ik denk dat een variant van Zeus zelfs een techniek gebruikt die bepaalde sectoren op een harde schijf zich laat voor doen als bad blocks en zo een format overleeft (maar geen low level en al helemaal geen secure erase) Helaas is er maar een tool die ECHT een secure erase doet via SATA firmware commando's en dat is HDDerase.exe (4.0)
Dit DOS progje word meestal gebruikt om SSD's naar fabrieksinstellingen te laten resten maar werk alleen in Legacy IDE modus. Iets wat de meeste moederborden niet ondersteunen.

Goed, de lijst van de tools dan. Zonder links want ik ben al veel te lang met deze reactie bezig. Je zoekt zelf maar.

• EZ_Sirefix.exe van ESET --> detecteert een groot aantal varianten en is ook in staat deze te verwijderen vanuit een compromised systeem.
• HitmanPro.exe
• HitmanPro_x64.exe
• ComboFix.exe --> WARNING WARNING WARNING, als je niet genoeg verstand hebt van deze tool dan is het de meest effectieve manier om je HELE SYSTEEM KAPOT TE MAKEN. Combofix is als DDT of Amerikaanse cowboys die eerst schieten en dan vragen stellen. Maar het werkt wel als je weet wat je doet.
• hmpalert.exe
• mbam-setup-1.75.0.1300.exe --> Malwarebytes is handing omdat het een groot aantal malware programma's detecteert die via de rootkit om je PC terecht zijn gekomen. Zolang de rootkit aanwezig is is een nieuwe infectie van malware onvermijdelijk want die word gewoon via P2P weer geupload naar je PC en via de rootkit geactiveerd. De rootkit zal nooit zijn aanwezigheid op je PC laten zien. Zijn enige taak is om dormant te zijn en geactiveerd te kunnen worden door P2P commando's die naar je PC worden gestuurd.
• rkill.exe --> rootkit killer
• ServicesRepair.exe --> deze kan geinfecteerde services van windows soms herstellen. Dit is handig als je ABSOLUUT geen drive wipe en reformat wilt doen.
• setup_11.0.1.1245.x01_2013_09_05_00_31.exe --> rootkit tool van Kaspersky
• tdsskiller.exe --> rootkit detector van Kaspersky
• tweaking.com_windows_repair_aio.zip --> superhandig sofware die het register kan herstellen en services kan herstellen. MAAR PAS OP, VERKEERD GEBRUIK EN VEEL DINGEN GAAN NIET MEER WERKEN!!!!!

Nadat je weer clean bent en je OS terug vertrouwd is jou missie om een nieuwe besmetting te voorkomen.

• Draai goede antivirus software --> http://www.av-comparatives.org/
• Zie dat je Windows up to date is. Als je nog windows XP draait, vergeet het dan maar. De eerst volgende worm met exploit voor windows XP zal er voor zorgen dat het hele OS niet meer te vertrouwen is. Microsoft zal geen nieuwe patches meer uitbrengen.
• Koop je antivirus. Anders heb je nog al tijd een tooltje nodig om licensie sleutels te krijgen. Zonder sleutels geen AV updates. En zonder AV updates is je AV nutteloos. Het probleem is dat het merendeel van deze tooltjes alleen werken als je ze whitelist van je AV. En wanneer je deze tooltjes whitelist dan is de kans erg groot dat het ooit een van deze tooltjes is die een backdoor installeert.
• Surf met een veilige browser, in mijn ogen alleen Chrome en Chromium. IE? Vergeet het maar. Firefox, ja maar niet te veel plugins.
• Noscript en flash blokkers maken het surfen lastig maar zijn wel erg goede bescherming tegen code execution.
• Fuck Adobe PDF en dergelijke. Update 12 keer per minuut en is nog niet in staat om je te beschermen tegen PDF exploits. Draai Foxit PDF reader of Nitro
• Ad block plus met een lijst van malware domains is een MUST! Deze lijst word dagelijk geupdate en blokkeer IP adressen en domeinen waarvan aanvallen komen. Ad block plus doet dagelijks een update van de lijst.

Maar het belangrijkste van allemaal: Gezond verstand!!!!! Open_dit_voor_naakte_wijven.jpg.exe downloaden en openen is niet slim.

Wens ik alle tweakers een clean Windows OS toe waar alleen Google, Microsoft, Apple, Amazon, de Mossad, de Chinezen, de Russen en de NSA toegang tot heeft. Zoals het hoort.
Wat zeg je? De AIVD? Haha, er zijn meer computer systemen in de wereld die toegang hebben tot AIVD systemen dan dat de AIVD toegang heeft tot computer systemen van Nederlanders.


:B ECHO "LINUX USER NOT AFFECTED"

Oh en hoe ik dit allemaal weet? Naast mijn sociaal botnet experimentje is het mijn hobby om slecht in elkaar stekende botnetjes te plunderen en de botjes onder mijn controle te krijgen. Dit is mogelijk in mijn regio omdat wij ook een aantal netwerk knoppunten beheren (point to point wifi netwerken voor de farms en een aantal servers voor dsl en kabel bedrijven) en ik dus heel makkelijk slaafjes kan afschermen van de rest van het botnetwerk. En met ZeroAcces heb ik het meeste ervaring omdat dat hier in deze Canadese regio het meest succesvol is. Zeus komt ik niet vaak tegen en is van een hogere generatie rootkits. Bevinden de machines zich in de regio waar ons bedrijf opereert dan contacteren we de mensen en cleanen de machines tegen betaling en ook in de hoop dat ze een service contract bij ons afnemen. Lucratieve business maar het liefste zou ik toch zien dat gebruikers beter leren werken met computers en niet meer besmet raken want hoe goed malware ook geschreven is, het zorgt altijd voor problemen en data verlies en da's gewoon kwaadaardig .

[Reactie gewijzigd door Kain_niaK op 24 juli 2024 08:17]