09.08.2017 | Bochum, Autor: Tim Berghoff

Analyse: ZeuS Panda

Analysten von G DATA Advanced Analytics konnten die feste Größe in der Welt der Bankingtrojaner nun vollständig analysieren.

In unserem ersten Artikel über die Besonderheiten dieser Malware haben wir deren hohe Komplexität bereits angedeutet. Nun steht eine vollständige Analyse zur Verfügung. ZeuS ist seit vielen Jahren im Umlauf. Fest steht: weder ZeuS selbst noch dessen neuere Variante "Panda" sind "ganz normale Trojaner".

Wie können Betroffene eine Infektion erkennen?

Die schlechte Nachricht ist: sobald ein ungeschütztes System infiziert ist, gibt es fast keine Möglichkeit, die Infektion durch genaues Beobachten des Bildschirminhaltes zu erkennen. Das, was auf dem Bildschirm angezeigt wird, wurde nämlich von der Schadsoftware geschickt manipuliert, damit die Anzeige genau zum sonstigen "Look&Feel" der betroffenen Banking- oder Bezahlseite passt. Nutzer werden entweder mit einer vermeintlichen Spende für einen guten Zweck in die Falle gelockt oder mit einer angeblichen Falschüberweisung. Manchmal wird der Druck noch erhöht, indem die "Finanzpolizei" andeutet, dass das potenzielle Opfer Ziel eines Strafverfahrens wegen Geldwäsche werden könnte. Zusätzlich zum Abgreifen von Eingaben auf einer Webseite manipuliert ZeuS Panda auch einige Sicherheits- und Benachrichtigungseinstellungen im Browser, die sonst den ahnungslosen Benutzer darauf aufmerksam machen könnte, dass etwas nicht stimmt. 

Es gibt jedoch auch eine gute Nachricht: es existieren Technologien, die eine Infektion aufdecken, selbst wenn es keine Malware-Signatur geben sollte, wie zum Beispiel den G DATA BankGuard.

Was Panda so besonders macht

Es gibt zahlreiche bösartige Anwendungen, die versuchen, sowohl der Entdeckung als auch der Analyse zu entgehen. Was Letzteres angeht, unternimmt ZeuS Panda besondere Anstrengungen: so prüft er, zum Beispiel, ob er in einer virtuellen Maschine ausgeführt wird und prüft das System auf Anzeichen für VMWare, VirtualBox, Wine or Hyper-V-basierte Umgebungen. Viele Analysten führen bösartige Dateien auf solchen VMs aus - somit wird diese Überprüfung zum ersten Stolperstein für Analysten. Zusätzlich prüft ZeuS Panda, ob Analysewerkzeuge vorhanden sind, wie sie für viele Malwareanalysen verwendet werden: ProcMon, Regshot, Sandboxie, Wireshark, IDA und auch der SoftICE-Debugger. Ist eines diese Programme vorhanden, beendet sich ZeuS Panda sofort. Andere Malware nutzen hier oberflächlichere Überprüfungen und schauen nur nach VMWare und OpenBox. Oft sind die entsprechenden Prüffunktionen auch nur von anderer Stelle kopiert. Um das Ganze abzurunden, werden verschiedene Packer für die Erstellung der Dateien benutzt, die alle manuell "auseinandergenommen" werden müssen. Man sieht also: die Macher von ZeuS Panda haben sich wirklich Mühe gegeben, ihre Kreation zu einer Nuss zu machen, die schwer zu knacken ist.

Andere Malware nutzt zwar ähnliche Technologien, diese sind aber oft entweder schlampig umgesetzt oder die Schaddatei enthält Fehler, die das Programm funktionsunfähig machen. Einige Beispiele dafür kenne ich selbst aus erster Hand: so ist mir schon Schadsoftware begegnet, bei der nach Überwindung diverser Schutzmechanismen herausstellte, dass die URL, zu dem die Schadsoftware Kontakt aufnehmen solllte, einen Tippfehler enthielt. Somit war das Schadprogramm ein Blindgänger. 

Anders verhält es sich bei ZeuS Panda: dieser sammelt so lange Daten, bis er eine andere Anweisung erhält. Selbst, wenn der Kontrollserver (C2-Server) vom Netz genommen wird, sammeln sich die gestohlenen Daten an, bis ZeuS Panda sie an einen anderen C2-Server loswerden kann. 

Ein bösartiges "Schweizer Messer" aus Osteuropa

Was ZeuS Panda abgesehen von seinen Ausweichstrategien und der Qualität des Programmcodes zu einer Ausnahmeerscheinung macht, ist seine Funktionsvielfalt. Zwar ist ZeuS Panda in erster Linie ein Bankingtrojaner, aber er ist auch in der Lage, eine Vielzahl an Daten von einem System zu stehlen. Dazu gehören auch Daten aus der Zwischenablage (also einem Speicherbereich, in dem kopierte Daten abgelegt werden, die der Benutzer anderswo einfügen möchte - auch einige Passwortmanager benutzen die Zwischenablage zum Einfügen gespeicherter Zugangsdaten), das Erstellen von Screenshots und dem Öffnen einer Hintertür in das betroffene System mittels VNC. Dies wiederum ist gleichbedeutend mit einem Unbekannten, der einem 24 Stunden am Tag über die Schulter schaut. 

Welche der Funktionen aktiv wird, ist in der Konfiguration der Schadsoftware festgelegt, die in regelmäßigen Abständen geprüft und gegebenenfalls geändert wird. Die Konsequenz ist, dass ZeuS Panda je nach Ermessen des Angreifers innerhalb von Minuten vom Bankingtrojaner zum Spion oder zur Fernsteuerung mutieren kann.

Was die Herkuft von ZeuS Panda anbelangt, gibt es klare Indikatoren: die Malware beendet sich selbst automatisch, wenn sie feststellt, dass der Rechner in Russland, der Ukraine, Weißrussland oder Kasachstan steht.

Weitere Details

Wenn Sie an detaillierten Informationen über ZeuS Panda interessiert sind, können Sie den vollständigen Analysebericht bei G DATA Advanced Analytics herunterladen und auch die beiden Blog-Artikel (Teil 1 und Teil 2) dazu lesen (Analysebericht und Blogartikel jeweils in englischer Sprache).

 


Share this article

G DATA | Trust in German Sicherheit