Security in Network

Zeus je trojanac koji je na internetu prisutan dovoljno dugo da se u internet podzemlju proglasi kao alat jednostavan za upotrebu i moćan alat za krađu ličnih podataka s udaljenih lokacija.

U početku se vezuje za grupu kriminalaca poznatih kao "Rock Phish" grupa koja je “napadala” finansijske institucije u svetu, da bi kasnije ovaj “alat” postao široko dostupan za prodaju, pa čak i kao besplatan na underground forumima.

Sljedeći video pruža uvid u  “Zeus crimeware” alat, internet crna tržišta, i načine distribucijete ovog trojanca:

Jedan od najrasprostranjenijih botneta danas – ZEUS- Banking Trojan

Zeus je trojanac koji snima sve odlazne konekcije zaraženog racunara, tj. posete internet sajtovima.

Osnovna kriminalna namena ovog Trojanca je da pomoću keylogger tehnika od korisnika ukrade podatke za pristup na bankovne račune (korisnička imena, lozinke, brojeve računa), brojeve kreditnih kartica. On poseduje mogućnost da pri poseti online banking sistema „ubrizga“ lažne html forme putem kojih navodi korisnika da unese potrebne podatke.

Prema istraživanjima Damballa botnet napadi su u porastu a Zeus bot zauzima prvo mesto po rasprostranjenosti u SAD. Pretpostavlja se da je samo u SAD 3.6 miliona računara zaraženo ovim trojancem.

 (Dalje)

Botovi ili “zombi” računari su ustvari računari inficirani štetnim kodom.  Botnet mreže mogu da broje na hiljade pa i desetine hiljada inficiranih kompjutera.

Ovakve mreže se najčešće koriste kao spam platforme. Mogu služiti za pokretanje DdoS (Distributed Denial of Service) napada koji je usmeren ka tome da ometa ili potpuno obustavlja normalno funkcionisanje web sajta, servera ili drugih mrežnih resursa. Jedan od uobičajenih načina je preplavljivanje servera slanjem prevelikog broja zahteva. To će usporiti server (i web strane će se otvarati mnogo sporije), a može i potpuno oboriti server (prouzrokujući time pad svih web sajtova na serveru). (Dalje)

Najbolji vid zaštite su naravno antivirus programi sa firewall-om, redovno update-ovani. Oni vas neće zaštiti od novih, FUD password stealera, ali će sprečiti veliki deo starijih verzija da Vam ukradu podatke.

Ovi password stealeri dolaze uglavom u .exe ekstenziji (ređe .pif) da bi mogli da se izvrše na računaru korisnika, te stoga treba biti oprezan sa pomenutim ekstenzijama. Povedite računa kada preuzimate muziku ili video zapise koji su kompresovani u .rar(.zip) ekstenziju, često se događa da se umesto fajla video.avi (.flv,.mpg,.mp3...etc) nalazi fajl tipa video.exe.

Naravno, najbolje je da sumnjive sadržaje ne preuzimate sa interneta i ne pokrećete ih na svom PC. (Dalje)

R1zen Stealer je iz grupe "alata" kojoj pripada i Kizarov Istealer. Način na koji radi ovaj stealer je identičan iStealeru pa je nepotebno opet pisati o tome. Autor ovog trojanca je programer iz Francuske, i krije se iza pseudonima Clark. (Dalje)

Istealer je password stealer koji se na internetu prvi put pojavio početkom 2009. godine. Samo njegovo ime govori da je namenjen za krađu na internetu. Autor ovog "programa" je iz programer Španije koji se na internetu krije iza nadimka Kizar.

Kao što se iz slike iznad može uočiti ovaj "program" se može "umetnuti" u neku aplikaciju, što u prevodu znači da kada korisnik pokrene ovaku aplikaciju neće primetiti ništa sumnjivo.  (Dalje)

Još jedan od načina na koji Vam zlonamerni korisnici interneta mogu ukrasti podatke je kao što sam pomenuo u uvodnom delu upravo korišćenjem "password stealer"-a.

Jadan od presudnih razloga za moje "izučavanje" ove oblasti su upravo ovi trojanci, obzirom da verujem da sam i sam bio žrtva sličnih kriminalnih alata, što mi je donelo brojne neugodnosti. No...da se vratimo na temu.

Ovi password stealeri su zapravo programi koji svojim vlasnicima šalju podatke koje imate sačuvane u vašim internet pretraživačima.

Uglavnom ih izrađuju ljudi kojima je programiranje blisko i prodaju ih svakom ko je zainteresovan tj. ko onome ko plati. Cene ovakvih programa na crnom tržištu kreću se od 50 do 70 eura.

Ovi programi su zbog lakoće upotrebe i niske cene jedni od najrasprostranjenijih programa ovog tipa na internetu danas.

Šire se internetom tako što se server(zaražen fajl) pridruži nekom od programa (npr. patch za Kaspersky Internet security), podigne na internet i na nekom od sajtova postavi link ka njemu. Nakon preuzimanja sa interneta dovoljno je da se zaraženi fajl startuje i on će poslati potrebne podatke svom vlasniku.

Po pravilu ovi "serveri", po postavljanju na internet su FUD (Fully UnDetectable), što znači da ih u trenutku postavljanja na intenet ne može detektovati ni jedan antivirus program.

Postoji mnogo ovakvih programa i nije neophodno baviti se svima njima, te ću ja na ovom blogu za zainteresovane u narednim člancima napisati ponešto o IStealer-u, čisto da ih upoznam sa čime se mogu susresti i kako se mogu zaštiti.

Iz prethodnih primera se lako može zaključiti da je najbolja zaštita od phishing stranica isključivo oprez.

Kada preuzimate datoteke sa interneta dovoljno je da pre nego što kliknete na link, obratite malo pažnje na status liniju u vašem internet pretraživaču. Link na koji želite da odete će se pojaviti u status liniji čim ste postavili miša na njega.

Čak i ako Vam se dogodi da otvorite takvu stranicu, pogledajte adresu na kojoj se trenutno nalazite(Address bar Vašeg pretraživača), pre nego što upišete Vaše podatke za pristup.

Slična pravila važe i za elektronsku poštu koju dobijate sa interneta. Mnogobrojni korisnici su na ovaj način prevareni. Kako da zaštitite vaše podatke od ovakvog načina krađe?  (Dalje)

Linkovi za ka phishing stranicama se razlikuju u zavisnosti od toga kako je napisan phisher.

Oni mogu izgledati ovako:

Pogledajte status liniju.

 (Dalje)

Kao što sam već pomenuo u prethodnom članku, linkovi ka sadržajima na rapidshare-u se uglavnom postuju po forumima. Stoga se na ovakvim mestima najčešće postavljaju i "phishing" linkovi. Ovakvi linkovi se uglavnom postavljaju na popularne forume (dosta posetilaca), zbog interesa da što vishe korisnika poseti njihovu lažnu stranicu pre nego što administracija foruma ustanovi da je u pitanju "phishing" link i ukloni ga.

Forumi su "interesantni" za ljude koji postavljaju phishing linkove iz još jednog bitnog razloga. Naime, na njima se mogu postovati tzv. skriveni linkovi.

Primer:

Pravi link

http://rapidshare.com/files/113466665/STEP2SN546897.part1.rar

Lažni link

Iz prethodnih primera se može zaključiti link koji korisnik vidi nije uvek link na koji će ga "klik" odvesti.

Po mom mišljenju, kada su u pitanju lažne(phishing) stranice na internetu, na ubedljivom prvom mestu se nalazi popularni servis RapidShare (www.rapidshare.com).
Obzirom da se sadržaj na rapidshare.com ne može pretražiti već ceo servis funkcioniše na principu razmene linkova, korisnici uglavnom linkove ka sadržajima koje su postavili postuju po forumima(rapidserbia, warez-bb, i td.)

U najčešći vid prevarere spadaju tzv."phishing linkovi". Iza ovakvih linkova se ustvari nalaze lažne internet stranice, koje imaju zadatak da od korisnika preuzmu njegove podatke koji služe za pristup sajtu, a potom ga preusmere na originalan sajt. U ovakvim slučajevima korisnik ni ne sluti da je svoje podatke za pristup ostavio "na milost i nemilost" autoru phishing stranice.

Najčešće se ovakve phishing stranice izrađuju i postavljaju za servise kao što su: RapidShare, MegaUpload, Hotfile, Faceboook, Twitter, PayPal, Moneyboookers,Webmoney a neretko se koriste i za postavljanje lažnih stranica banaka.