Зевс Панда

Zeus Panda , Panda Banker, или Panda - это вариант оригинального Zeus (Trojan Horse) в рамках категории Banking Trojan. Его открытие было в 2016 году в Бразилии во время Олимпийских игр . Большая часть кода получена из исходного Trojan Zeus и поддерживает кодирование для выполнения журнала «Человек-в-браузера» , «Регистрация клавишных» и захвата форм атаки . Zeus Panda запускает кампании атаки с различными наборами для эксплойтов и загрузки с помощью загрузок и фишинговых электронных писем , а также подключает результаты поиска в Интернете на зараженные страницы. Возможности скрытности затрудняют обнаружение, но и анализ вредоносного ПО .

Возможности

Zeus Panda использует возможности от многочисленных погрузчиков, таких как Emotet , Smoke Loader, ^{[ 1 ]} Годзилла, ^{[ 2 ]} и Ханситор. ^{[ 3 ]} Методы погрузчиков различаются, но та же цель конечного состояния по установке Zeus panda в систему одинаковы. Многие из погрузчиков были первоначально троянцами, прежде чем были переоборудованы в качестве системы доставки для Зевса Панды. Механизмы доставки не обязательно останавливаются с вышеупомянутыми погрузчиками в качестве наборов эксплойтов, таких как рыболов, ядерный, нейтрино, закат ^{[ 4 ]} также используются. Кодеры Trojan Zeus Panda Banking, а также другие троянские кодеры склонны к использованию погрузчиков через комплекты эксплойтов из -за более высокой потенциальной урожайности в денежном усилении. ^{[ 5 ]} Погрузчики также добавляют постоянные возможности Зевса Панды через перезагрузку, а также, если она удалена. ^{[ 6 ]}^{[ 7 ]} Если Зевс Панда больше не обнаруживается в системе, и если погрузчик все еще присутствует, он повторно загрузит гнусный код и начнет работать снова и снова.

Одним из ключевых различий Зевса Панды по сравнению с другими банковскими троянами является способность нацелить системы в определенных регионах мира. Это происходит с помощью рудиментарного процесса, с помощью которого он обнаруживает код устройства интерфейса человека, прикрепленную клавиатуру. Если код клавиатуры из России (0x419), Беларусь (0x423), Казахстан (0x43f) или Украина (0x422) обнаруживается, что Зевс Панда самостоятельно удаляется. Это соответствует этике российских киберпреступников, которые пребывают в том, чтобы избежать задержания: «русские не должны взламывать русских…», второе «если российская разведывательная служба просит о помощи, вы ее предоставляете» и последнее «Смотрите, где вы отдыхаете». ^{[ 8 ]}

Zeus Panda использует множество методов инфекции, а именно поездка по загрузкам , отравленной электронной почте, макроу документа Word. ^{[ 9 ]} Диск по загрузкам - это «загрузки, которые человек авторизовал, но без понимания последствий (например, загрузки, которые автоматически устанавливают неизвестную или поддельную исполняемую программу , компонент ActiveX или Java ). Включая «любую загрузку , которая происходит без ведома человека, часто компьютерный вирус , шпионское ПО , вредоносное ПО или уголовное обеспечение ». Отравленная электронная почта возникает, когда список рассылки вводится с несколькими недействительными адресами электронной почты, ресурсы, необходимые для отправки сообщения в этот список, увеличились, даже если число действительных получателей не имеет. Командные и контрольные серверы - это то, как Зевс Панда может распространяться по обширности мира, но также оставаться под контролем у горстки операторов. ^{[ 10 ]}

Область интересов

Впервые обнаруженный в 2016 году до Олимпийских игр в Бразилии, Зевс Панда распространился на все части земного шара, аналогичным образом оригинального Trojan Zeus Banking. Это похоже на карту инфекций Зевса по всему миру, особенно в региональных концентрациях инфекции. Места инфицированных доменов с помощью области и концентрации аналогичны исходным местам инфекции Zeus. Хотя в России все еще есть места, которые перечислены как инфекции, это, вероятно, будет автономным сервером, распространяющим банковский троян. Страны, которые нацелены больше, чем другие, вероятно, основаны на ВВП.

Есть регионы, в которых не так много инфекций. Некоторые из причин, вероятно, являются отсутствием достаточного ВВП, чтобы быть мишенью, одной из охраняемых областей, на которые российские киберпреступники не атакуют, или просто отсутствие отчетности персоналом и антивирусом в регионе. ^{[ 10 ]}

Стюжные возможности

Zeus Panda может обнаружить и противостоять многим криминализованным аналитическим инструментам и средам песочницы . В настоящее время существует как минимум 23 известных инструмента, которые он может обнаружить, и если кто -либо из них найден в системе, Zeus Panda останавливает установку и удаляется из системы. Добавление параметра командной строки «-f» в начале вредоносного ПО отказатся от этой функции безопасности, чтобы повысить скорость инфекции на риск обнаружения. Помимо возможностей антирективы, он также обладает протоколами антианализа, если будет использована функция «-f», или программа не в списке наблюдения Trojans обнаружит его. Это происходит путем проверки файла, мутекс, запуска процесса и ключа реестра. ^{[ 11 ]}

антидектора и анализа После того, как параметры будут выполнены, Зевс Панда глубоко внедрит себя в системный реестр . Он будет искать пустые папки с длинной цепочкой подпапки без имен Microsoft или Firefox на дереве. ^{[ 10 ]} Шифрование его данных добавляет к сложности обнаружения кибер -криминалистикой . Настройки конфигурации зашифрованы с помощью шифрования RC4 и AES , но также известно, что они используют криптографические функции, использующие алгоритмы SHA256 и SHA1 . ^{[ 11 ]}

Обнаружение

Некоторые антивирусные компании смогли преодолеть возможности скрытности Зевса Панды и удалить их из зараженной системы. Некоторые из них уходят из списка индикаторов компромисса (МОК), а также могут определить, какую кампанию возникла версия Зевса Панды. МОК - это подписи, оставленные вредоносными программами , а также IP -адреса , хэши или URL -адреса , связанные с командными и управляющими серверами . После того, как антивирус определяет, что это Zeus Panda, заражающая систему, он проходит автоматический алгоритм , чтобы полностью удалить ее и ее погрузчик, если это возможно. Есть также способы удалить его вручную. ^{[ 12 ]}^{[ 13 ]}

Ссылки

^ «Погрузчик дыма» .
^ «Новый» банкир Panda »Trojan заимствует код в Zeus - SecurityWeek.com» . www.securityweek.com .
^ «Malware-Traffic-Analysis.net-2018-04-04-Hancitor Malspam-поддельные уведомления DHL» . www.malware-traffic-analysis.net .
^ «Зевс Панда, доставленная Sundown - Targets UK Banks - Forcepoint» . blogs.forcepoint.com . 26 июля 2016 года.
^ «Основное снижение наборов эксплойтов - менее финансово жизнеспособно, чем вымогатели» .
^ «Smoke Loader - загрузка с дымовой завесом, все еще живой - Malwarebytes Labs - Malwarebytes Labs» . blog.malwarebytes.com .
^ «Panda Banker: новый банковский троян попадает на рынок» . www.prootpoint.com . 20 апреля 2016 года.
^ «Русское правило киберпреступности № 1: не взламывать русских» . www.bankinfosecurity.com .
^ «Зеус Панда - Северо -Западный Банк» . www.bank-northwest.com .
^ Подпрыгнуть до: ^а ^{беременный} ^в Бергхофф, Тим (11 августа 2017 г.). «Анализ: Зевс Панда» . www.gdatasoftware.com .
^ Подпрыгнуть до: ^а ^{беременный} «Результаты анализа Zeus.variant.panda» (PDF) .
^ "Panda Banker - IBM X -Force Collection" . Exchange.xforce.ibmcloud.com .
^ К., Мария (13 декабря 2017 г.). «Удаление вредоносных программ Зевса Панды (обновление марта 2018 года)» .

[1] «Погрузчик дыма» .

[2] «Новый» банкир Panda »Trojan заимствует код в Zeus - SecurityWeek.com» . www.securityweek.com .

[3] «Malware-Traffic-Analysis.net-2018-04-04-Hancitor Malspam-поддельные уведомления DHL» . www.malware-traffic-analysis.net .

[4] «Зевс Панда, доставленная Sundown - Targets UK Banks - Forcepoint» . blogs.forcepoint.com . 26 июля 2016 года.

[5] «Основное снижение наборов эксплойтов - менее финансово жизнеспособно, чем вымогатели» .

[6] «Smoke Loader - загрузка с дымовой завесом, все еще живой - Malwarebytes Labs - Malwarebytes Labs» . blog.malwarebytes.com .

[7] «Panda Banker: новый банковский троян попадает на рынок» . www.prootpoint.com . 20 апреля 2016 года.

[8] «Русское правило киберпреступности № 1: не взламывать русских» . www.bankinfosecurity.com .

[9] «Зеус Панда - Северо -Западный Банк» . www.bank-northwest.com .

[auto-10] Подпрыгнуть до: ^а ^{беременный} ^в Бергхофф, Тим (11 августа 2017 г.). «Анализ: Зевс Панда» . www.gdatasoftware.com .

[wordpress.com-11] Подпрыгнуть до: ^а ^{беременный} «Результаты анализа Zeus.variant.panda» (PDF) .

[12] "Panda Banker - IBM X -Force Collection" . Exchange.xforce.ibmcloud.com .

[13] К., Мария (13 декабря 2017 г.). «Удаление вредоносных программ Зевса Панды (обновление марта 2018 года)» .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]

[ 13 ]