新型Zloader感染鏈改進隱身和檢測逃避技術

ZLoader——Zeus 銀行木馬的積極變種

ZLoader（又稱 Terdot）于 2016 年被首次發現，是臭名昭著的 Zeus 銀行木馬的一個變種。目前，該惡意軟件仍然在積極開發中，平均每周發布 1 到 2 個新版本。

ZLoader 是一種典型的銀行木馬，通過竊取 Cookie、密碼和任何敏感信息來獲利。它攻擊世界各地金融機構的用戶，還為勒索軟件和其他惡意軟件提供入口。其較新的版本實現了一個 VNC 模塊，支持通過隱蔽信道遠程訪問失陷主機。ZLoader 主要依靠 DDE 和宏代碼混淆技術來通過精心設計的文檔投遞最終 Payload。

最近發現感染鏈演化包括動態創建代理、從遠程服務器下載的 Payload 等。與此同時，感染鏈通過禁用 Windows Defender 并依靠 LOLBAS 技術來逃避檢測，從而實現更高級別的隱蔽性。

技術分析

惡意軟件通過 Google Adwords 發布的 Google 廣告下載的。

用戶首先在 Goolge 檢索中發現下載軟件的網站，例如team viewer download

點擊廣告后會被重定向到攻擊者控制下的虛假 TeamViewer 網站。

用戶被誘騙下載帶有數字簽名的 MSI 格式的虛假惡意軟件

用戶點擊廣告會通過 aclk 頁面重定向，攻擊者使用 Google Adwords 獲取流量：

hxxps://www.google.com/aclk?sa=L&ai=DChcSEwiMusngi8_yAhVbbm8EHYpXDh0YABABGgJqZg&ae=2&sig=AOD64_05er1E772xSHdHTQn_3lAIdsmPxA&q&adurl&ved=2ahUKEwjV8cHgi8_yAhXPaM0KHTCBDeAQ0Qx6BAgCEAE&dct=1

在重定向后，用戶會通過 hxxps://team-viewer.site/download/Team-Viewer.msi下載惡意文件 Team-Viewer.msi。

偽造的 TeamViewer 安裝程序，簽名時間是 2021-08-23 10:07:00，網絡犯罪分子設法獲取了加拿大一家軟件公司 Flyintellect 的有效證書。當然，公司在 2021 年 6 月 29 日注冊，攻擊者也可能是為了獲取證書而注冊的公司。

通過證書可以發現使用相同證書的其他樣本，攻擊者不僅針對 TeamViewer 也針對其他發起攻擊，例如 JavaPlug-in.mis、Zoom.mis和 discord.msi。

撰寫本文時，并不能在 VirusTotal 中發現這幾個樣本。

繞過防御

.msi是第一階段的 Dropper，在目錄中創建隨機合法文件 C:\Program Files (x86)\Sun Technology Network\Oracle Java SE。創建文件夾后，通過 cmd.exe /c setup.bat執行。

啟動感染鏈的第二階段，updatescript.bat將通過 Invoke-WebRequest 從 hxxps://websekir.com/g00glbat/index/processingSetRequestBat/?servername=msi下載后續惡意軟件，接著執行第三階段 cmd /c updatescript.bat。

第三階段中，通過 Set-MpPreference 禁用所有 Windows Defender 模塊，然后利用 Add-MpPreference對 Windows Defender 隱藏惡意軟件的所有組件。

而第四階段的 Dropper 通過 hxxps://pornofilmspremium.com/tim.EXE保存為 tim.exe。執行是通過 explorer.exe tim.exe實現的，這一般會觸發 EDR 對父子進程關系的檢測。

tim.exe是 Windows 程序 wextract.exe植入后門的版本，嵌入了多個額外的資源，如 RUNPROGRAM、REBOOT和 POSTRUNPROGRAM。

后門會創建新的惡意批處理文件 tim.bat，通過 hxxps://pornofilmspremium.com/tim.dll下載最終的 ZLoader DLL 文件并利用 nsudo.bat異步執行。

提權

nsudo.bat通過驗證對 SYSTEM 配置單元的訪問權限來檢查當前的執行上下文是否具有權限。

負責提權的腳本片段如下所示：

:UACPromptecho Set UAC = CreateObject^("Shell.Application"^) > "%temp%\getadmin.vbs"set params = %*:"="echo UAC.ShellExecute "cmd.exe", "/c %~s0 %params%", "", "runas", 1 >> "%temp%\getadmin.vbs""%temp%\getadmin.vbs"del "%temp%\getadmin.vbs"exit /B

權限提升后，腳本執行禁用 Windows Defender 的步驟。將名為 NSudo 的程序重命名為 javase.exe，通過 hxxps://pornofilmspremium.com/javase.exe下載而來。攻擊者利用此程序來生成具有 TrustedInstaller權限的進程。

該腳本 autorun100.bat下載文件并放置在啟動文件夾 %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup，該腳本確保 WinDefend 服務在下次啟動時被刪除。

nsudo.bat腳本通過注冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA禁用 UAC。

ZLoader

tim.dll通過 regsvr-32.exe執行，創建注冊表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Iwalcacvalue: regsvr-32.exe /s C:\Users\[REDACTED]\AppData\Roaming\Kyubt\otcyovw.dll。

利用線程劫持的進程注入技術脫殼：

VirtualAllocEx() -> WriteProcessMemory() -> GetThreadContext() -> SetThreadContext() -> ResumeThread()

解密 DLL 并跳轉入口點：

一旦內存被寫入遠程進程，從進程內存中可以提取脫殼后的 DLL。將 DLL 文件與 ZLoader 的 Payload 比較，相似度為 92.62%。

基礎設施

分析的樣本屬于 Tim僵尸網絡。從失陷主機中發現的一個 C&C 域名 mjwougyhwlgewbajxbnn.com直到 2021 年 8 月 25 日一直解析到 194.58.108.89，在 8 月 26 日切換到 195.24.66.70。

194.58.108.89屬于 ASN 48287 – RU-CENTER，部署了 350 個域名，形成了 ZLoader 的基礎設施架構。

域名中發現了 gate.php，這是 ZLoader 僵尸網絡的指紋，所有域名都是在 2021 年 4 月至 8 月期間注冊的，并且在 8 月 26 日切換到 195.24.66.70上。

針對金融機構

新出現的 ZLoader 的攻擊行動是有針對性的，Payload 中被嵌入 AU 與 DE 的域名列表，并包含一些通配符字符串，攔截對特定金融機構的 Web 請求。

@https://*commerzbank.de*@https://*.de/*/entry*@https://*.de/banking-*/portal?*@https://*.de/banking-*/portal;*@https://*.de/portal/portal*@https://*.de/privatkunden/*@https://*.de*abmelden*@https://*.de/de/home*@https://*.de/en/home*@https://*.de/fi/home*@https://*banking.sparda.de*@https://*banking.sparda-*@https://*banking.sparda.de/wps/loggedout.jsp@https://*meine.deutsche-bank.de/trxm/db*@https://*banking.berliner-bank.de/trxm*@https://*meine.norisbank.de/trxm/noris*@https://*targobank.de*@https://banking4.anz.com/IBAU/BANKAWAY*@https://banking.westpac.com.au/*@https://www1.my.commbank.com.au/netbank/Portfolio/Home/*@https://ibanking.stgeorge.com.au/ibank/*@https://ibanking.banksa.com.au/ibank/*@https://ibanking.bankofmelbourne.com.au/ibank/*@https://online.macquarie.com.au/*@https://ob.cua.com.au/ib/*@https://banking.bendigobank.com.au/banking*@https://internetbanking.suncorpbank.com.au/*@https://www.ing.com.au/securebanking/*@https://ib.nab.com.au/*@https://online.beyondbank.com.au/*@https://ib.greater.com.au*@www.independentreserve.com*@www.coinspot.com.au*@https://auth.btcmarkets.net/*

通過對 mjwougyhwlgewbajxbn.com通信模式的分析，可以發現大部分映射流量。

結論

ZLoader 構建的攻擊鏈使攻擊推向更高的復雜度，也具備更高的隱蔽水平。目前尚且沒有證據表明該攻擊鏈是由特定合作伙伴實施的，后續還將進一步跟蹤攻擊活動。