源于臭名昭著的 Zeus 恶意软件的模块化木马 Zloader 再次进化,给网络安全专业人员带来了新的复杂挑战。Zscaler公司的安全研究团队ThreatLabz发现了Zloader的新迭代版本(2.9.4.0版),该版本引入了用于命令与控制(C2)通信的自定义DNS隧道协议。
Zloader (又称 Terdot、DELoader 或 Silent Night)于 2015 年首次出现,最初设计用于通过自动清算所(ACH)和电汇促进银行欺诈。多年来,与同类产品 Qakbot 和 Trickbot 一样,它被重新用作初始访问代理,为勒索软件在企业环境中的部署铺平了道路。经过两年的沉寂,Zloader 于去年重新出现在网络威胁领域,其混淆、反分析技术和网络通信策略都得到了增强。
ThreatLabz 的最新调查结果显示,Zloader 的最新版本将这些功能提升到了一个新的水平。报告指出:“Zloader 2.9.4.0增加了显著的改进,包括用于C2通信的自定义DNS隧道协议和支持十几种命令的交互式shell,这对勒索软件攻击可能很有价值。”
Zloader 攻击链示例 | 来源:ThreatLabz ThreatLabz
Zloader 最新版本中最引人注目的更新之一是使用了自定义 DNS 隧道协议。这种机制允许恶意软件在 DNS 请求中封装加密的 TLS 流量,从而有效绕过传统的网络流量监控工具。与许多其他恶意软件系列不同,Zloader 不依赖第三方库或 Windows API,而是独立构建和解析 DNS 数据包。
每个 DNS 请求都遵循特定格式:
[前缀].[标头].[有效载荷].[zloader_nameserver_domain].
有效载荷(可能包括 TLS 客户端问候信息)被分割成多个数据包,以符合 DNS 协议的限制。DNS 隧道的使用,再加上 Zloader 的反分析功能,使得检测其 C2 流量变得异常困难。ThreatLabz 指出:“Zloader 的 C2 通信最重要的更新是增加了 DNS 隧道功能……较大的信息必须被分割成多个数据包发送。”
Zloader 2.9.4.0 还对其反分析技术进行了重大改进。通过改进环境检查和 API 导入解析算法,该恶意软件可以躲避沙盒和静态检测机制。ThreatLabz 强调指出:“Zloader 的反分析技术(如环境检查和 API 导入解析算法)不断更新,以规避恶意软件沙盒和静态签名。”
此外,该恶意软件现在包含一个交互式外壳,可为威胁行为者提供一系列功能,包括执行二进制文件、渗出数据和运行 shellcode。这些增强功能强化了 Zloader 作为勒索软件操作员的强大工具的作用。
ThreatLabz 的研究表明,Zloader 的传播方式发生了转变。大规模垃圾邮件活动已被更有针对性的方法所取代,例如利用 AnyDesk 和 TeamViewer 等远程监控和管理 (RMM) 工具。此外,Zloader僵尸网络越来越多地与Black Basta勒索软件活动联系在一起,进一步巩固了其作为勒索软件攻击主要推动者的地位。
Zloader 凭借其先进的 DNS 隧道功能卷土重来,给防御者带来了巨大挑战。传统的网络流量监控已不再足够,企业还必须仔细检查基于 DNS 的通信,以发现异常。ThreatLabz 建议:“有了最新的 Zloader 更新,企业必须确保不仅要检查基于网络的流量,还要检查基于 DNS 的网络流量。”
文章原文链接:https://www.anquanke.com/post/id/302651