Zeus-Botnetz: Lücke im Webfrontend vorhanden

Billy Rios wurde im Zuge einer durchgeführten Analyse des zugehörigen Toolkits zum Zeus-Botnetz auf eine Schwachstelle im Webfrontend der Steuerserver aufmerksam. Angeboten wird das Toolkit für rund 500 US-Dollar im Netz. Durch das erfolgreiche Ausnutzen der Schwachstelle könnte ein Angreifer die Command-and-Control-Server (C&C-Server) unbrauchbar machen, die Kontrolle über die Bots übernehmen, oder die gestohlenen Dateien löschen. Betroffen ist von dieser Problematik angeblich die Version des Zeus-Toolkits, welche vor Januar dieses Jahres veröffentlicht wurde.

Den Angaben des Sicherheitsexperten zufolge steht die Schwachstelle im Zusammenhang mit einer fehlerhaften Prüfung verbotener Dateiendungen beim Hochladen.

Da es mit dem Toolkit möglich ist, eigene Log-Dateien auf die einzelnen Bots hochzuladen, konnte Rios auch ein eigenes PHP-Script auf den übernommenen Systemen ablegen und dieses über die Eingabe des vollständigen Pfades mit den rechten des Servers aufrufen.

Die Kommunikation im Zeus-Botnetz läuft laut dem Sicherheitsexperten verschlüsselt ab. Daher war es zunächst notwendig, die vergebenen RC4-Schlüssel ausfindig zu machen. Während der Laufzeit konnte Rios diese Schlüssel aus dem Speicher der übernommenen Rechner auslesen.

Der Sicherheitsexperte hat dann auf etwas scherzhafte Weise versucht, den Hersteller über diesen Sachverhalt zu informieren. Daraufhin fanden sich in seinem Postfach zahlreiche Viagra-Spam-Mails ein.