Zeus Botnet أصبح واحدا من أشهر و
أخطر الـBotnets في الوقت الحاضر خطورة
على مستخدمين الأنترنت بشكل عام حيث يقوم بجعل كل ما تفعله على الشبكة
العنكبويتة من معلومات و خصوصيات تحت سيطرة الـBot Master نكاد نراه بشكل مبالغ فيه هذة الأيام
بمواقع Malware
Honeynets
مثل malwaredomainlist.com, malwareurl.com و غيرها و اعتقد الكثير من من يقراء هذة
التدوينة لم يسمع عنه من قبل او لم يعرف مدى خطورة هذا البوت اولا دعوني اوضح
بعض المعلومات عن الـZeus Bot
و فكرة عمله و technique المستخدم به الـZeus Bot هو ببساطة عبارة عن Http Botnet
بمعنى ان الـ Command & Control Center يتم التحكم به عن طريق المتصفح او الـWeb Browser فكرة البوت تختلف كثيرا عن اغلب
البوتـز الأخرى التى سوف نتطرق إلي تحليلها ان شاء اللًه في مجتمع الحماية
بأذن اللًه تعالى فأغلب الbots
تكون مهمتها هي جلب عدد اكبر من الضحايا عن طريق استخدام طرق كثيرة لعمليات
الـSpreading & Infection و سوف نقوم بشرح مفصل لهذا الكلام في
تحليل واحد من اشهر هذه البوتات Butterfly Bot
لكن دعونا نعود إلى الـZeus Botnet
و فكرة عمله و لماذا هو يصنف كـ High Risk Malware
و هو في رائي هو عبارة عن صاروخ اطلقوه الروس و هم مشهورين جدا تخصص الـMawlares و يتم ابأستخدام فكر جديد في هذا البوت نت
قريبا من فكرة الـkeyloggers لكن بشكل مختلف
تماما فكما نعرف ان الـkeyloggers
تقوم بعمل تسجيل لكل keystroke
يقوم المستخدم بكتابته كذلك الـZeus Botnet
قريبا من نفس هذة الفكرة فهو يستخدم الـForm Grabbing Technique و لمن لا يعرف ما هو Form Grabbing سوف اقوم بشرح فكرته بشكل مختصر جدا و سريع
.
Form Grabbing هي
عملية grab او التقاط اي شئ يتم
اداخله في Forms بصفحات HTML نفترض مثلا انك قمت بتصفح لموقع بريدك
الألكتروني و تريد الدخول إلى بريدك الألكتروني حيث تجد خانة username و خانة Password و تقوم بكتابة بريدك الألكتروني و الكلمة
السرية الخاصة بك يتم وقتها الـform grabber
بألتقاط ما قمت بعمل عملية POST
له و تسجيل الـfiled Name و filed value مثلا username=admin و password=123456 شئ شبيها بعملية http sniffing ..
و هذة هي الفكرة الرئيسية للـzeus bot فهو يعتمد عليها بشكل اساسي فتمكن
خطورته في جلب كل ما تقوم بكتابته في اي خانة في اي موقع الكتروني و يتم ارسال هذة
المعلومات إلى http webserver
و يتم استقبلها ملف يسمى gate.php
الذي يقوم بأستقبال عملية الـpost
و تخذينها في قاعدة البيانات .. وبعد فترة من جلب عدد أكبر من الضحايا يجد
المتحكم بالبوت logs بشكل أكبر.
فاستخدام البوت غالبا يتم استخدامه استخدامات خطيرة لسرقة حسابات
البنوك والحسابات المهمة لدى المستخدمين ولكن بالطبع ليس كل هذا هو خطورة الـzeus حيث لديه من اسلحه و ادوات ما تجعل الجهاز
الذي اصيب بهذا البوت يصبح جميع معلوماته و حسابته على الشبكة العنكبوتية متاحه
للمتحكم في البوت حيث قام الـBot Author
بتطوير هذا البوت نت بشكل كبير في اخر اصدارته بأضافات ترعب مثلا قام بتطوير vnc module
& proxy module و غيرها من الأضافات
الخطيرة ..
proxy module
: تجعل من الجهاز المصاب بالبوت proxy server
عن طريقه يتمكن المخترق من استخدام الأي بي الخاص بك و التصفح عن طريقة بشكل
مباشر و يتم فيه ايضا Bypassing NAT عن
طريق الـreverse
connection
او directly للأجهزة المتصلة مباشر
بالأنترنت without
nat
vnc module : و
هو ما يمكن المخترق و المتحكم في البوت من دخول الجهاز المخترق و التحكم فيه
تحكم كامل بدون ظهور اي شئ و يقوم بمشاهده جميع ملفات الجهاز المخترق و
العمل فيه و استخدام نفس البرامج التى تعمل على الجهاز دون ان يظهر اي اثر على
جهاز الضحية بالضبط كـremote desktop connection
لكن invisible بشكل تام ..
وقد ووصلت اسعار الـ
modules
الواحده فقط إلى أكثر من $5000 من الـ Zeus Bot Author
وبالطبع يساوي الكثير لكن الـ Blackhat Hackers & Fraudsters ليس لديهم مشاكل لشراء هذة الأضافات.
وبالطبع يساوي الكثير لكن الـ Blackhat Hackers & Fraudsters ليس لديهم مشاكل لشراء هذة الأضافات.
ايضا يوجد بعد الخواص او الأوامر المضافة الـى الـMAIN CORE الخاص بالزيوس و هي خطيرة
ايضا مثل Dns
spoofing
يجعل من المستخدم عند دخولو لموقع معين يقوم بتحديده الـAttacker إلى فتح موقع اخر تماما من غير اي
عمليات redirect ظاهره ..
ايضا توجد خاصية kill system
وهي لتدمير ومسح ملفات جهاز الشخص المصاب بالـ malware كما يوجد الكثير من
الـcommands و الأضافات الكثيرة في
الـzeus bot لن يستطيع المجال ان
نتطرق إليها كلها و لكني سوف اكتفي بوضع بعض من الـScreenShots الخاصة ExE Builder و الـWEB PANEL
و للحماية من مثل الـzeus bot ينصح بأستخدام احدى برامج مكافحة malware و أنصح بـmalware bytes لأنه الـmanual removal للبوت لن يكون سهلا على المستخدم العادي لأنه
يقوم بعمل
Injection في winlogon.exe processes و برنامج malwarebytes ممتاز جدا لفحص البرامج الخبيثة على windows و بالطبع مستخدمين الينوكس في safe side : )
1
ردحذف1
ردحذف