A Citadel-b54 malware működése és eltávolítása

A Citadel-b54 egy ZeuS alapú botnet, amely állítólag több mint 500 millió dollárt lopott el az áldozatok bankszámláiról.

A Seculert kutatólaborja érzékelt először Citadel botnet aktivitást 2011 december 17-én. A 20 botnet, amit beazonosítottak, mind különböző verzióját használták ennek a trójai módosulásnak. Mint az elődje, a Citadel is illegális crimeware toolkit-ként cserél gazdát.

A botnet azért lett népszerű, mert egy software-fejlesztő csapathoz hasonlóan lehetővé tették javaslatok, visszajelzések, bug jelentések beküldését.

Működése

A Citadel megtartotta a ZeuS fő alkotóelemeit.

  • A böngésző folyamatainak módosítása és látogatott weboldalak hozzáférésének megfigyelése.
  • HTML űrlapok megadott értékeinek eltulajdonítása (pl.: bankszámla adatok).
  • A látogatni kívánt weboldalak HTML kódjának módosítása az áldozat böngészőjében.
  • URL-ek átirányítása rosszindulatú weboldalakra.
  • HTML kód feltöltése célzott URL-re.
  • HTTP cookies (süti) és Flash cookies (Flash helyileg megosztott objektumok) eltulajdonítása.
  • Egyéb járulékos folyamatok hozzáadása számla- és fiókadatok ellopása céljából (FTP,POP3).
  • További programok letöltése és futtatása.
  • Virtual Network Console szerver hozzáadása, amely egy távoli szerver létrehozását teszi elérhetővé, ezáltal kijátszva a “network address translation”-t (NAT) és a tűzfal szabályait.

Mint a ZeuS-nál, itt is a cél a webes befecskendezés. A támadók módosíthatják az URL-től visszaérkező HTML kódot, és ez lehetővé teszi a megváltoztatott HTML űrlapokkal vagy JavaScript-el indított támadást is (http://en.wikipedia.org/wiki/Man-in-the-browser Man-in-the-Browser).

Fejlesztések a ZeuS-hoz képest:

  • Újragondolt titkosítás (RC4 algoritmus helyett 128 bites AES)
  • Sandbox (Virtuális környezet) felismerése
  • Videó készítése adatlopás céljából
  • Agresszív DNS szűrés
  • Google Chrome támogatás (A ZeuS nem támogatta a Chrome-ot használók elleni támadásokat)
  • Automata kód végrehajtás(pl.: net view, tasklist, set)
  • Szolgáltatás megtagadás (DoS)
  • Új felhasználói felület

Felismerés

Fájlrendszer alapján

A Citadel egyetlen futtatható állományt használ, ami a felhasználó %APPDATA% könyvárában található, egy véletlenszerű alkönyvtárban véletlenszerű fájlnévvel. Ezt a fájlt úgy módosítják, hogy csak a fertőzött rendszeren legyen képes lefutni.

Registry alapján

A trójai egy registry bejegyzést készít, amiben konfigurációs és állapotinformációkat tárol. Ezt az információ egy véletlenszerű (4-9 karakter hosszú) névvel ellátott kulcsban tárolja a HKCU\Software\Microsoft mappában.

Hálózati tevékenység alapján

A Citadel HTTP protokollt használ a C&C szerverével való kommunikálásra. Minden kérés a C&C szerver felé POST metódussal történik. Innen kapja az utasításokat, frissítéseket és ide tölti az ellopott adatokat is.

Eltávolítás

A Citadel eltávolításához használja a Microsoft Safety Scanner szoftvert.
  • Microsoft Safety Scanner letöltése
  • A “Download Now” gombra kattintva töltse le majd futtassa a programot (“msert.exe”)
  • Olvassa el majd fogadja el a felhasználási feltételeket, kattintson a “Next”-re
  • Válassza ki a “Full Scan” rádiógombot, kattintson a “Next”-re
  • Ha a program végzett, jelzi, hogy talált-e fertőzést és sikerült-e eltávolítani

Microsoft Safety Scanner angol leírás

Megelőzés

Többrétegű védelem felépítése és ezek karbantartása

  • Aktív Network Threat Protection (NTP)
  • Intrusion Prevention System (IPS)
  • Tűzfal használata
  • Antivírus használata
  • Insight
  • SONAR

Támadási felület csökkentése

  • Alkalmazások futtatásának korlátozása
  • Csatlakoztatható eszközök korlátozása

További lehetőségek

  • Böngészők bővítményeinek patchelése(frissítése)
  • P2P használatának blokkolása
  • AutoPlay kikapcsolása (a Virut, Conficker/Downup fertőzések USB és hálózati meghajtókat fertőzve ‘autorun.inf’ állományt elhelyezve automatikusan futnak)
  • Operációs rendszer frissítéseinek telepítése (sérülékenységek javítása)
  • Erős jelszavak használata (időközönkénti megváltoztatása)
  • Felhasználói jogok korlátozása
  • Fájlmegosztás kikapcsolása (ha nem feltétlenül szükséges)
  • Email server beállítása, amely kiszűri a feltételezhetően káros csatolmányokat (.bat, .exe, .scr, .pif, .vbs kiterjesztésű fájlok)
  • Bluetooth kikapcsolása (Ha szükséges a munkavégzéshez, akkor a készülékek beállítása ‘Hidden’ módba (rejtett), hogy más eszközök ne tudják azonosítani. Ha eszközöket kell csatlakoztatni egymáshoz, akkor is ‘Unauthorized’ módban, hogy minden kapcsolat jogosultsághoz és megerősítéshez kötött)
  • Biztonsági mentések készítése

Linkek