新版ZeuS殭屍網絡給網銀安全敲響警鐘

　　一些新的能力正在增強ZeuS殭屍網絡。犯罪分子利用這個殭屍網絡在網上銀行、自動清算中心網絡和工資管理系統上竊取金融證書和執行非授權的代碼。這個最新版本的犯罪工具(起始售價大約3000美元)提供了一個1萬美元的模塊，能夠讓攻擊者完全控制被攻破的計算機。

　　SecureWorks本星期發表了有關ZeuS殭屍網絡的深入的報告。SecureWorks威脅情報經理Don Jackson說，Zeus v.1.3.4.x(作者和擁有者一直在改變代碼，據說這個作者是一個東歐人)在這個殭屍網絡中集成了一個強大的遠程控制功能，因此攻擊者現在能夠完全控 制用戶的電腦。

　　Jackson說，ZeuS殭屍網絡的這個新功能為它提供了GoToMyPC等合法產品中才有的遠程控制能力。SecureWorks把這個能 力稱作「total presence proxy」(完全存在代理)。這個功能對於犯罪分子是非常有用的。僅僅這個ZeuS殭屍網絡的VNC模塊就值1萬美元。

　　基於Windows的ZeuS木馬軟件(在被攻破的Windows計算機中佔大約5萬字節空間)旨在通過受害者的計算機竊取北美和英國銀行系統的賬戶。犯罪分子也許遠在其它洲，通過一個精細的指揮控制系統指揮非授權的資金轉撥。

　　Jackson說，ZeuS至少是在2007年就出現了，原來是一個間諜軟件木馬程序。這個軟件賣得很好並且隨著各種殭屍網絡的傳播而流行起來。

　　一個名為UpLevel的組織原來曾合作研究ZeuS的源代碼。但是目前，研究人員懷疑ZeuS只有一個作者。這個人目前採用基於硬件的版權保護機制嚴密地控制著ZeuS 1.3和以後版本的軟件。

　　SecureWorks研究人員Kevin Stevens說，ZeuS基於硬件的版權保護機制是基於一種類似於WinLicense的硬件令牌方式，解鎖ZeuS Builder工具代碼需要考慮許多硬件細節因素。

　　老版本的ZeuS是免費提供的。但是，目前版本的ZeuS及其模塊自從去年年底推出以來價格並不便宜。據SecureWorks稱，在地下網絡犯罪市場，詐騙分子通常經過Western Union或者Web Money支付犯罪軟件的貨款。

　　據SecureWorks本星期發表的一篇報告稱，基本的ZeuS Builder工具價格為3000至4000美元，「回連」模塊再加1500美元。這個模塊可以把被感染的計算機連接回來，以便利用那台計算機做金融交 易。這意味著設法跟蹤轉賬者的銀行永遠只能回溯到賬戶持有者的計算機。為了破解Windows 7或Vista計算機，犯罪分子必須額外支付2000美元，否則只能攻擊Windows XP系統。

　　一個「火狐瀏覽器表格抓取器」需要再加2000美元。這個工具能夠讓犯罪分子獲取使用火狐瀏覽器的用戶在信息欄中輸入的數據，如銀行賬戶的用戶 名和口令等。一個「Jabber即時消息聊天通知器」需要再加500美元。這個工具能夠讓攻擊者立即獲得竊取的數據，以便在受害者使用銀行隨機提供的令牌 登錄之後進入受害者的賬戶。而VNC模塊能夠讓攻擊者繞過大額交易需要的任何智能卡，售價為1萬美元。

　　Jackson指出，這個最新版本的軟件還設計用於突破銀行系統使用的雙因素身份識別和其它身份識別方式等最新的防禦措施，專門針對10萬美元以上的交易。

　　Jackson說，Zeus能自動檢測與網上銀行服務有關的頂級黃金客戶目標。信號被傳遞給殭屍網絡的控制者，一個高度自動化的交易就能夠把資金轉到攻擊者希望的賬戶。

　　當大筆資金轉到銀行不能索回的賬戶的時候，有許多企業投訴非授權的自動清算中心轉款或者自動工資管理系統中增加了假冒的員工。

　　Jackson說，最新版本的ZeuS繞過了目前銀行使用的大多數高級在線身份識別機制，也許只有至少需要兩人批准的交易流程除外。這種兩人批准流程常常是從經過這種培訓的人員中隨機選擇兩人執行交易。他們採取人工授權的方式進行交易。他說，這是一種軍備競賽。

　　即將推出的ZeuS 1.4版目前仍是測試版，不過，這個軟件承諾有更強的的功能。例如，它的「Web Injects for Firefox」(火狐Web注入攻擊)能力能夠讓攻擊者在火狐瀏覽器顯示一個窗口，在銀行交易過程中假冒銀行要求提供信息引誘用戶輸入更多的敏感信息。 ZeuS木馬程序還將進行多態加密以便重新加密自己，每一次都以獨特的方式出現，從而使殺毒軟件很難檢測到它。