安全圈威胁情报 沉寂许久的 ZLoader 恶意软件再度活跃,并进化出更强大的功能!Zscaler ThreatLabz 安全研究人员发现,ZLoader 新版本 (2.9.4.0) 利用 DNS 隧道技术进行 C2 通信, 隐蔽性大幅提升,传统安全防护措施恐将失效。
ZLoader 新版本:更隐蔽,更危险
- DNS 隧道技术:
ZLoader 将恶意流量隐藏在 DNS 请求中,如同穿上“隐身衣”, 绕过防火墙等安全设备的检测。这意味着即使网络流量被监控,也很难发现 ZLoader 的踪迹。 - 交互式 Shell:
新版本内置交互式 Shell,使攻击者能够远程执行任意代码、窃取数据、终止进程等,为后续攻击 (如勒索软件) 铺平道路。 - 反分析技术:
ZLoader 不断更新其反分析技术,例如环境检查、API 导入解析算法等, 使其能够有效逃避沙箱检测和静态签名分析,增加安全人员分析和溯源的难度。
ZLoader 攻击链深度解析
ZLoader 的攻击链条也更加复杂:
- 初始入侵:
攻击者通常利用社会工程学手段,例如伪装成技术支持人员,诱骗受害者允许远程桌面连接。 - 部署 GhostSocks:
攻击者首先部署名为 GhostSocks 的 payload,作为跳板,为后续攻击做准备。 - 释放 ZLoader:
GhostSocks 随后会释放 ZLoader 恶意软件到受害者系统。 - 建立 C2 通道:
ZLoader 利用 DNS 隧道技术建立与攻击者控制的 C2 服务器的通信通道。 - 执行恶意操作:
攻击者通过 C2 通道远程控制 ZLoader,窃取数据、下载其他恶意软件 (例如 Black Basta 勒索软件),或进行其他恶意操作。
安全圈作者点评
ZLoader 的不断进化表明网络犯罪分子正在持续提升其攻击能力和隐匿手段。DNS 隧道技术的应用,使得 ZLoader 的 C2 通信更加难以 detection,对安全防护提出了新的挑战。
安全建议
- 加强网络监控:
密切监控网络流量,特别是 DNS 流量,及时发现异常行为。 - 部署高级威胁检测:
部署高级威胁检测系统,例如沙箱、行为分析等,提高对 ZLoader 等恶意软件的 detection 能力。 - 更新安全防护:
及时更新安全软件和系统补丁,增强对 ZLoader 等恶意软件的防御能力。 - 提高安全意识:
加强员工安全意识培训,避免点击可疑链接或打开不明附件,不轻易允许远程桌面连接。 - 多因素身份验证:
在关键系统和账户上启用多因素身份验证,提高账户安全性。
原文始发于微信公众号(技术修道场):ZLoader 恶意软件“进化”归来,DNS 隧道技术助其隐身攻击!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论