Zloader木马再次升级:通过DNS隧道和WebSocket C2实现更隐蔽的攻击

Zloader典型攻击链 | 图片来源:Zscaler ThreatLabz

沉寂近两年后,Zloader(又名Terdot、DELoader或Silent Night)携新版本卷土重来,其反分析、混淆及命令控制(C2)能力均显著增强。Zscaler ThreatLabz研究人员警告称,该恶意软件已从单纯的银行木马演变为勒索软件运营商的模块化平台。

从银行木马到勒索软件跳板

研究报告指出:"Zloader最初设计用于银行欺诈,现已被改造为初始访问工具,成为攻击者渗透企业网络部署勒索软件的入口点。"该恶意软件基于2015年泄露的Zeus源代码开发,并持续迭代进化。

隐蔽性升级与技术革新

ThreatLabz发现:"Zloader 2.13.7.0版本改进了自定义DNS隧道协议用于C2通信,并新增WebSocket支持。"这些更新并非表面改动,而是旨在规避现代检测手段,同时维持在高价值网络中的持久性。

新版Zloader展现出高级沙箱规避能力:

  • 早期版本仅支持硬编码文件名执行,现改用"Updater.exe"和"Updater.dll"两个通用文件名提升攻击灵活性
  • 采用多层混淆技术,包括基于XOR的整数解码
  • 检测Windows进程完整性级别,遇到高权限(管理员级)执行时自动退出------此举可规避多数以管理员权限运行的沙箱环境

网络探测与横向移动增强

最新版本新增LDAP功能套件,使攻击者能够:

  • 绑定目录服务器
  • 查询用户及属性
  • 深入渗透企业环境 其交互式shell功能也经过升级,显著提升网络探测和横向移动能力。

C2通信机制重大变革

Zloader的指挥控制体系迎来三项关键改进:

  1. 弃用旧版域名生成算法(DGA)
  2. DNS查询中改用Base32编码叠加自定义算法,使恶意流量与正常DNS流量难以区分
  3. 新增WebSocket支持,将恶意流量伪装成合法Web连接

研究人员解释:"Zloader引入WebSocket可能是为了进一步混入合法网络流量,规避基于网络的检测。"与广泛传播的普通恶意软件不同,Zloader目前仅针对少量高价值目标部署,这种精准攻击策略导致野外样本捕获率较低,表明其正日益成为初始访问经纪人(IAB)为勒索团伙铺路的重要工具。

相关推荐
HelloWorld工程师4 小时前
新手如何快速申请SSL通配符证书...
网络协议·https·ssl
姚不倒9 小时前
F5 SSL Profile 证书卸载深入篇
运维·网络协议·负载均衡·ssl·f5
烤代码的吐司君12 小时前
Redis IO 多路复用原理与引入原因深度解析
数据库·redis·php
鹏易灵12 小时前
C++——8.移动语义初探(移动构造、移动赋值)
开发语言·c++·php
念何架构之路13 小时前
moby-http-api-server
网络·网络协议·http
云栖梦泽在13 小时前
原生 IP、机房 IP、住宅 IP、广播 IP 有何不同?从网络身份到 ASN 识别的技术科普
网络·网络协议·tcp/ip·性能优化
宠友信息13 小时前
资源权限与钱包流水在即时通讯源码后端架构中的设计
java·spring boot·redis·websocket·缓存
从零开始的代码生活_15 小时前
Linux epoll 多路转接详解
linux·运维·网络·后端·tcp/ip·计算机网络·php
魔尔助理顾问15 小时前
HTTP Response中的CORS Headers
网络·网络协议·http
Zhan86112415 小时前
西班牙股票行情数据API的WebSocket接入:IBEX35指数实时推送与数据清洗
python·websocket·网络协议