最近黑客发动ZLoader金融木马程序攻击,开始运用多种回避机制,手法更为隐晦、间接,以就地取材(Living
Off The Land Binaries and Scripts,LOLBAS)的方式侧载执行,目标锁定德国、澳洲的银行机构。
过往攻击者散布金融木马的管道,多半是利用内有恶意宏的Office档案,作为钓鱼邮件进行攻击。但今年出现了较为复杂的新手法,例如,在金融木马ZLoader(也称为Terdot)近期的新攻击行动中,黑客透过合法的MSI档案来散布,并具备停用Windows内建防病毒软件的模块。
ZLoader是典型的金融木马,最早在2016年出现,是由另一款恶名昭彰的木马程序Zeus发展而来,原本主要是透过网页注入(Web Injection)的方式,来窃取Cookies、密码,以及上网用户的敏感信息,攻击目标是全球各地金融机构的使用者,黑客也运用ZLoader来传送Egregor、Ryuk等勒索软件,或是其他的恶意软件。但如今,攻击者执行ZLoader的方式,比起以往更加复杂。
1.以Google关键词广告来引诱受害者上钩
攻击者先是透过投放Google广告,锁定使用「Team viewer download」作为关键词的用户,一旦用户点选了攻击者购买的广告,就会被引导到冒牌TeamViewer的网站,下载MSI安装档案,但实际上,若是使用者执行这个档案,将会在受害计算机植入ZLoader。
值得留意的是,有别于许多冒名TeamViewer的恶意软件,这次攻击者提供的档案具有合法签章,除了假冒TeamViewer的安装程序(Team-Viewer.msi),研究人员发现,攻击者还利用上述的合法凭证,签署冒牌的Java插件(JavaPlug-in.msi)、Zoom(Zoom.msi),以及Discord(discord.msi)等安装软件,这4个冒牌安装程序皆无法透过VirusTotal识别为有害。
2.运用计算机操作系统内建工具侧载恶意软件
在使用者不疑有他执行这些冒牌安装程序之后,它们会先随机产生一些合法的档案,再透过PowerShell取得更新用的脚本(Script),接着停用Microsoft Defender所有模块,并将regsvr32、EXE可执行文件案、DLL链接库设置为例外,以便后续恶意软件的组件不会被拦截。
最终攻击者才会下载名为tim.exe的档案,并透过档案总管(explorer.exe),以就地取材(Living Off The Land Binaries and Scripts,LOLBAS)的方式侧载执行。这么做的目的,是要让端点侦测与响应系统(EDR)难以串连子母处理程序之间的关连。而这个tim.exe接着会产生恶意脚本tim.bat,下载ZLoader的酬载DLL档案(tim.dll)。当然,执行ZLoader的方式也是透过就地取材,由regsvr32侧载来运作。
什么是「就地取材(Living Off The Land)」?简单来说就是利用受害计算机所具备的现成工具,来挟带恶意软件,或是执行侦察、下载恶意软件等工作。而这样的手法,后来有资安研究人员以使用的工具型态来进行区分,其中同时运用可执行程序(Binary)和脚本(Script),或者是可执行程序与链接库(Library)的情况,被称为LOLBAS。以上述的攻击过程里,档案总管、regsvr32都是攻击者就地取材所运用的内建软件。
而针对ZLoader的攻击目标,在研究人员连一步分析后,发现了该恶意酬载嵌入澳洲与德国网域列表,且针对银行机构而来。至于上述攻击工具文件名的「Tim」,研究人员认为是攻击者所使用的殭尸网络名称,该公司指出,这个殭尸网络是由超过350个C2中继站所组成。
Myasiacloud亞洲雲海
網路安全防禦專家 免備案CDN解決方案
亞太高防資源 無上限防禦DDoS/CC攻擊!!
全球優質節點 中國大陸全境加速 海外加速
详情访问https://www.myasiacloud.com/clouddf
商務聯絡TG:@myasiacloud66
评论
发表评论