Zloader, также известный как Terdot, DELoader или Silent Night, - модульный троянец, основанный на утечке исходного кода Zeus, который появился в 2015 году.
Zloader Trojan
Изначально Zloader был разработан для облегчения банковского мошенничества с помощью Automated Clearing House (ACH) и электронных переводов, но, как и другие семейства вредоносных программ, такие как Qakbot и Trickbot, был перепрофилирован для первоначального доступа, обеспечивая точку входа в корпоративную среду для развертывания программ-вымогателей. Zloader появился год назад после почти двухлетнего перерыва с новой итерацией, которая включала изменения в методах обфускации, алгоритме генерации доменов (DGA), методах антианализа и сетевом взаимодействии.
ThreatLabz обнаружила новую версию Zloader (2.9.4.0), которая включает в себя функции, еще более расширяющие возможности антианализа, интерактивную оболочку для работы с клавиатурой и систему туннелирования DNS для командно-контрольной связи (C2). Эти модификации обеспечивают дополнительные уровни защиты от обнаружения и смягчают последствия. В этом блоге мы рассмотрим каждую из этих новых функций Zloader, а также изучим механику нового протокола DNS-туннелирования.
Основные выводы, сделанные по результатам анализа, таковы: Zloader - это модульный троянец, основанный на утечке исходного кода Zeus; в новой версии Zloader (2.9.4. 0) содержит значительные улучшения, включая собственный протокол туннелирования DNS для связи с C2 и интерактивную оболочку, поддерживающую более десяти команд, что может быть полезно для атак с выкупом; технологии антианализа Zloader, такие как проверка окружения и алгоритмы разрешения импорта API, продолжают обновляться для обхода песочниц и статических сигнатур вредоносных программ; атаки Zloader осуществляются с использованием более целевых методов, включая заманивание жертв для инициирования сессий удаленного мониторинга и управления (RMM).
Вектор заражения Zloader стал меньше и более целенаправленным, что становится все более популярной тенденцией среди брокеров первоначального доступа, в том числе связанных с программой Black Basta ransomware. За последний год эта тенденция привела к переходу от масштабных спам-кампаний к более персонализированным голосовым атакам. ThreatLabz отмечает, что Zloader распространяется по многоступенчатой цепочке заражения, начиная с инструментов удаленного мониторинга и управления (RMM), включая AnyDesk, TeamViewer и Microsoft Quick Assist. Кроме того, мы обнаружили дополнительную вредоносную полезную нагрузку в цепочке атак, известную как GhostSocks. Со средней или высокой степенью уверенности мы считаем, что эта полезная нагрузка использовалась для развертывания Zloader.
Измененияв несенные в Zloader 2.9.4.0.
Статическая конфигурация Zloader больше не шифруется с помощью жестко закодированного ключа RC4. Вместо этого ключ RC4 вычисляется путем операции XOR с двумя 16-байтовыми символьными массивами. В расшифрованной конфигурации обнаруживаются две новые секции, связанные с новой функцией DNS-туннелирования в Zloader, которая может инкапсулировать зашифрованный сетевой трафик по пользовательскому протоколу с помощью записей DNS A и AAAA. Первый новый раздел в конфигурации Zloader содержит HTTPS URL, используемый в качестве TLS Server Name Indication (SNI) во время рукопожатия TLS. В примере это значение равно «fordns». За этим значением следует DNS-сервер имен Zloader (например, ns1.brownswer.com), который служит в качестве C2 для связи. Второй новый раздел в конфигурации Zloader содержит три IP-адреса (в порядке сетевых байтов) для DNS-серверов, которые будут использоваться для разрешения сервера имен C2 в предпочтительном порядке.
Проанализированные ThreatLabz образцы Zloader, помеченные именем ботнета Test, не выполняют проверку антианализа среды на основе реестра, в то время как предыдущие версии Zloader делали это. В нетестовых сборках Zloader 2.9.4.0 модифицированная проверка окружения все же присутствует. Вместо проверки значения случайно сгенерированного ключа реестра Zloader использует альтернативный метод. Процесс, используемый Zloader для выполнения этой антианалитической проверки окружения, представлен на блок-схеме.
Indicators of Compromise
IPv4
- 45.61.152.154
Domains
- bigdealcenter.world
- ns1.brownswer.com
- unitedcommunity.world
SHA256
- 17a9900aff30928d54ce77bdcd0cdde441dd0215f8187bac0a270c5f8e4db9cc
- 22c5858ff8c7815c34b4386c3b4c83f2b8bb23502d153f5d8fb9f55bd784e764
- 2794a703aff5549a89834d0ef8ad4b97ce12e27fa37852dd2a504e5a0078b093
- 3610f213db22a9de07dbbed4fbf6cec78b6dd4d58982c91f3a4ef994b53a8adc
- 40b4bb1919e9079d1172c5dee5ac7d96c5e80ede412b8e3ef382230a908733cc
- 49405370a33abbf131c5d550cebe00780cc3fd3cbe888220686582ae88f16af7
- 603bd9ee50f7dc6de37f314bda227561f0fd67cdebf53a672ea32cce73a2efd3
- a9f2c4bc268765fc6d72d8e00363d2440cf1dcbd1ef7ee08978959fc118922c9
- cbff717783ee597448c56a408a066aaae0279dd8606e6d99e52a04f0a7a55e03
- d212042504f851253347754c3d3624628e7ebf7c0bbd8160220bf6edcff24f16
- db34e255aa4d9f4e54461571469b9dd53e49feed3d238b6cfb49082de0afb1e4
- ec8414631644269ab230c222055beb36546ff3ee39cebbbfa7e794e2e609c8d9
- f1a9ef13784ba05628c12decbbe44e7708793d1a707f9fbc2475c42e1ec2cb7d