Læsetid: 4 minutter
Sikkerhedsingeniørerne og it-eksperterne fra Comodo Threat Research Labs analyserer konstant de tusindvis af malware-familier, der forsøger at forårsage ødelæggelse og kaos til store og små it-infrastrukturer – og sikrer, at Comodos kunder forbliver beskyttede og sikre mod disse malware-familier.
I en løbende række af indlæg her på blogs.comodo.com vil sikkerhedseksperterne hos Comodo se på en specifik malware-familie og stable den op mod Comodos avancerede endepunktbeskyttelse og indeslutningsteknologi, og tal om hvorfor Comodos teknologi besejrer al malware. Comodo Senior Vice President for Engineering Egemen Tas og direktør for Threat Research Igor Demihovskiy tilbød deres perspektiver for denne udgave, som fortalt til Senior Product Marketing Manager Paul Mounkes.
Oversigt
Først rapporteret i 2007, Zeus er en mand-i-browser-malware, der generelt er rettet mod brugere af netbankapplikationer. Skaberen og operatøren af Zeus udviklede et massivt botnet på 3.6 millioner maskiner inficeret alene i USA og opbyggede et stort globalt netværk af hackere og penge-muldyr i USA, Storbritannien og Ukraine. De klarede sig med mindst 70 millioner dollars, før FBI endeligt afviklede organisationen i 2010.
Er Zeus stadig en trussel?
Hvis du tror, at Zeus er død, så tro om igen. Succesfuld malware dør aldrig; det ændrer sig bare, bliver mere sofistikeret og/eller bruges på forskellige måder. Zeus selv har affødt flere vildt succesrige varianter og menes at være blevet brugt som en del af Advanced Persistent Threat (APT) angreb som Carbanak. Zeus blev endnu mere kendt, da dens komponenter blev brugt til at skabe Gameover Zeus botnet der distribuerede den frygtede Cryptolocker ransomware.
Banker og sikkerhedsteknologier er blevet bedre til at forpurre MitB-angreb, men cyberkriminalitetens verden er et komplekst skakspil fyldt med træk og modtræk. Er Zeus bare gamle, trætte nyheder? Er du sikker fra Zeus? Du skal være dommeren. Nedenfor er blot to af de overskrifter, der er udkommet i det sidste år.
Januar 29, 2015: "Ny Zeus-variant bruger sofistikeret kontrolpanel"
August 24, 2015: “Sphinx: New Zeus-variant til salg på det sorte marked”
Hvad laver Zeus?
Zeus bliver droppet på systemer ved hjælp af typiske social engineering-angreb som phishing og drive-by-downloads. Når den er installeret, bruger den nøglelogning og form grabbing/”hooking”-teknikker til at stjæle loginkoder og personlige data fra brugere; men det er ikke det, der gør det specielt. Det har virus trods alt gjort siden længe før Zeus blev født.
Zeus' geni ligger i dens evne til at 1) kapre Document Object Model Module Interface for at injicere brugerdefineret kode i browserens HTTP-trafik, hvilket giver hackeren nok kontrol over brugersessioner til, at de kan opsnappe og ændre brugerens handlinger, så banken modtager hackerens instruktioner i stedet. Og 2) manipulere, hvad brugeren ser på skærmen for at skjule ondsindet aktivitet. Dette betyder, at mens hackeren stjæler penge, kan brugeren stadig se deres normale saldi før tyveri, og registreringen af transaktionen er skjult for dem. Denne type tricks skaber et forholdsvis massivt vindue af muligheder for cyberkriminelle til at planlægge og drive.
Zeus er snigende
Ifølge Trusteer, fuldt up-to-date traditionelle antivirussoftware har en testet succesrate på kun 23% mod Zeus. Så når det kommer til denne særlige trojaner, antivirussoftware ydeevnen er langt dårligere end dens sædvanlige hit-or-miss-forhold. Det er mere som miss-miss-miss-hit. Det betyder, at det er vigtigt at have AV, men det er ikke nær nok.
Når først opdaget, kan Zeus fjernes med besvær. Men på det tidspunkt har det formentlig allerede gjort skade på brugeren, for i mange tilfælde er en enkelt dag med infektion nok til at tømme en bankkonto. Derfor er det bydende nødvendigt at forhindre Zeus i nogensinde at få fodfæste på dine systemer.
Hvordan besejrer Comodo Zeus?
Med Comodo One Client Avanceret slutpunktsbeskyttelse, bliver Zeus eksekverbare enten umiddelbart genkendt som malware og sat i karantæne eller udpeget som en ukendt fil og tvunget til at køre i sikker virtuel indeslutning. Installationsprogrammet vil forsøge at oprette en mappe og to filer - en konfigurationsfil og en fil til at gemme stjålne data. Comodo One Clients container nægter adgang til systemets harddisk, og omdirigerer handlingen til et virtuelt drev, der er fuldstændig isoleret fra det beskyttede system.
Den eksekverbare vil også forsøge at injicere sig selv i flere tjenester, som f.eks winlogon.exe, explorer.exe , svchost.exe. Fordi disse tjenester er virtualiserede, sker der ingen skade på det beskyttede system.
Som tidligere nævnt forsøger Zeus at få adgang til Document Object Module-grænsefladen for at injicere tilpasset kode i browserprocesser for at ændre de data, som brugeren sender, samt hvad brugeren ser på skærmen. Med den eksekverbare, der kører i indeslutning, er den blind for alle bruger- og systemprocesser. Den er ude af stand til at finde, hvad den skal bruge for at udføre sit angreb, og fejler.
Men det er usandsynligt, at den eksekverbare vil få lov til at køre i indeslutning, selv længe nok til at gøre disse forsøg. Filen er sandboxed og analyseret ved hjælp af Comodo One multi-layered tilgang. Lokal og cloud-baseret Specialiseret Trusselsanalyse og beskyttelsesmotorer (STAP) kombineres med intelligent fortolkning for at returnere en dom af Known Bad. Den eksekverbare den blev afsluttet og behandlet i henhold til administratorpolitik, og containeren slettes, som om intet nogensinde er sket.
Kun med Comodo er Zeus virkelig "død".
Hvis du føler, at din virksomheds it-miljø er under angreb fra phishing, malware, spyware eller cyberangreb, så kontakt sikkerhedskonsulenterne på Comodo' Threat Research Labs: https://enterprise.comodo.com/contact-us.php
START GRATIS PRØVNING FÅ DIT ØJEBLIKKE SIKKERHEDSSCORECARD GRATIS
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Kilde: https://blog.comodo.com/containment/comodo-containment-vs-zeus-mitb/
- :har
- :er
- :ikke
- $OP
- 1
- 24
- 7
- a
- evne
- Om
- adgang
- Konto
- Handling
- aktioner
- aktivitet
- fremskreden
- Efter
- igen
- mod
- Alle
- alene
- allerede
- også
- an
- analysere
- ,
- applikationer
- tilgang
- APT
- ER
- AS
- At
- angribe
- Angreb
- Forsøg på
- AV
- Bad
- saldi
- Bank
- bankkonto
- Bank
- BE
- fordi
- bliver
- været
- før
- troede
- jf. nedenstående
- Bedre
- Sort
- Blog
- blogs
- født
- botnet
- browser
- bygget
- men
- by
- CAN
- bære
- tilfælde
- Årsag
- lave om
- Ændringer
- Chaos
- skak
- klik
- kunde
- kode
- KOM
- kombinerer
- Kom
- kommer
- Selskabs
- forholdsvis
- komplekse
- komponenter
- konstant
- konsulenter
- kontakt
- Container
- Indeslutning
- kontrol
- skabe
- skaber
- skaberen
- skik
- Kunder
- cyberangreb
- cyberkriminalitet
- cyberkriminelle
- data
- dag
- døde
- udpeget
- opdaget
- udviklet
- forskellige
- Vanskelighed
- Direktør
- distribueret
- do
- dokumentet
- gør
- gør
- færdig
- køre
- droppet
- udgave
- enten
- Endpoint
- Engineering
- Ingeniører
- Motorer
- nok
- sikring
- Miljø
- Endog
- begivenhed
- NOGENSINDE
- eksperter
- mislykkes
- familier
- familie
- FBI
- føler sig
- File (Felt)
- Filer
- Endelig
- Til
- formular
- Gratis
- fra
- fuld
- fuldt ud
- vinder
- spil
- generelt
- geni
- få
- Give
- Global
- globalt netværk
- hacker
- hackere
- skete
- Hård Ost
- harddisk
- Have
- Overskrifter
- link.
- Skjult
- Skjule
- hijack
- Hvordan
- Men
- http
- HTTPS
- if
- straks
- bydende nødvendigt
- vigtigt
- in
- infrastruktur
- installeret
- øjeblikkelig
- i stedet
- anvisninger
- Intelligent
- grænseflade
- fortolkning
- ind
- isolerede
- IT
- ITS
- selv
- jpg
- dommer
- lige
- Nøgle
- kendt
- Labs
- stor
- Efternavn
- Sidste år
- ligger
- ligesom
- lokale
- logning
- Logge på
- Lang
- Se
- Maskiner
- lavet
- lave
- maerker
- malware
- leder
- mange
- Marketing
- massive
- midler
- nævnte
- million
- MitB
- model
- Moduler
- penge
- mere
- bevæger sig
- flerlagede
- flere
- næsten
- behov
- netværk
- Ny
- nyheder
- ingen
- normal
- intet
- objekt
- of
- off
- tilbydes
- Gammel
- on
- engang
- ONE
- igangværende
- online
- netbank
- kun
- betjene
- operatør
- Opportunity
- or
- ordrer
- organisation
- ud
- i løbet af
- del
- særlig
- paul
- ydeevne
- personale
- Personlig data
- perspektiver
- Phishing
- PHP
- fly
- plato
- Platon Data Intelligence
- PlatoData
- politik
- Indlæg
- præsident
- forhindre
- tidligere
- sandsynligvis
- Processer
- Produkt
- beskyttet
- beskyttelse
- ransomware
- Sats
- forholdet
- modtager
- anerkendt
- optage
- fjernet
- rapporteret
- forskning
- afkast
- Kør
- kører
- sikker
- salg
- scorecard
- sikker
- sikkerhed
- Sees
- send
- senior
- Series
- Tjenester
- sessioner
- siden
- enkelt
- lille
- So
- Social
- Samfundsteknologi
- sofistikeret
- særligt
- specialiserede
- specifikke
- spyware
- stable
- forblive
- Stadig
- stjålet
- butik
- succes
- vellykket
- sådan
- systemet
- Systemer
- Tal
- mål
- teknikker
- Teknologier
- Teknologier
- end
- at
- verdenen
- deres
- Them
- Disse
- de
- tror
- denne
- tusinder
- trussel
- tid
- træt
- til
- traditionelle
- Trafik
- transaktion
- Trojan
- virkelig
- to
- typen
- typisk
- Uk
- Ukraine
- under
- ukendt
- up-to-date
- opdateringer
- us
- anvendte
- Bruger
- brugere
- ved brug af
- Variant
- Bedømmelse
- Vice President
- Virtual
- vira
- vs
- var
- måder
- GODT
- var
- Hvad
- Hvad er
- hvornår
- mens
- helt
- hvorfor
- vilje
- med
- world
- værre
- år
- Du
- Din
- zephyrnet
- Zeus