Terdot, DELoader veya Silent Night olarak da bilinen Zloader, yaklaşık iki yıl aradan sonra yeniden ortaya çıkan ancak yükleyici modülünde önemli iyileştirmeler içeren modüler bir truva atıdır.
Zloader, RSA şifrelemesine yönelik yükseltmeler, güncellenmiş bir DGA ve kötü amaçlı yazılım analizini önlemek için daha fazla önemsiz kod, karma API içe aktarımı ve dize şifreleme gibi daha etkili gizleme teknikleriyle geri döndü.
Zloader’ın sızdırılan Zeus kaynak kodundan kaynaklanan kötü niyetli davranışının geçmişi en az Ağustos 2015’e kadar uzanıyor. 2016 yılında Alman bankalarına yönelik hedefli bir çalışma sırasında kamuoyuna duyuruldu.
HERHANGİ BİR ÇALIŞTIRMA Sandbox’ındaki Şüpheli Dosyaları ve Bağlantıları Güvenle Açın; Tüm Özellikleri Ücretsiz Deneyin. Kötü amaçlı yazılım davranışını anlayın, IOC’leri toplayın ve kötü amaçlı eylemleri TTP’lerle kolayca eşleştirin; tüm bunları etkileşimli sanal alanımızda yapın.
Ücretsiz deneme
Zloader’ın gelişimi hızla devam etti ve Eylül 2021’de 2.0.0.0 sürümünün oluşturulmasıyla sonuçlandı. Zloader’ı kullanan tehdit aktörleri, Qakbot’a benzer şekilde mali dolandırıcılık yapmaktan fidye yazılımına geçti.
Güvenlik araştırmacıları, botnet’i kaldırmak için Nisan 2022’de bir yayından kaldırma operasyonu gerçekleştirdi ve bu da uzun süre işlem yapılmamasına neden oldu.
Eylül 2023’te Zloader, geliştirilmeye başlanmış gibi görünen yeni bir sürümle yeniden ortaya çıktı.
Zloader’ın RSA Şifrelemeyle ilgili yeni güncellemeleri
RSA gibi asimetrik şifreleme, iki farklı ancak bağlantılı anahtar kullanır. RSA şifrelemesi, hem genel hem de özel anahtarlar kullanılarak mesaj şifrelemeye olanak tanır. Bir mesajın şifresi, onu şifrelemek için kullanılan anahtarın tersi kullanılarak çözülebilir.
ThreatLabz araştırmacılarına göre Zloader şu anda C2 sunucusuyla HTTP POST istekleri aracılığıyla iletişim kuruyor. Bununla birlikte, ağ şifrelemesi için Zeus’un “görsel şifreleme” algoritmaları ve RC4’lü 1.024 bit RSA halihazırda kullanılıyor.
Zloader, RSA şifreli RC4 anahtarının (32 rastgele bayt) ilk 128 baytı oluşturduğu ve RC4 anahtarı ve görsel şifrelemenin kalan baytları şifrelediği benzersiz Zeus BinStorage formatını kullanır.
Depolanan bilgiler Zeus BinStorage yapısında bir ID tamsayı değeri ile temsil edilir ve bunu uzunluk ve veri takip eder.
Zloader statik yapılandırması hala RC4 ve sabit kodlanmış bir alfasayısal anahtar kullanılarak şifrelenmektedir, ancak yapı biraz farklıdır. Botnet kimliği, kampanya adı ve komut ve kontrol sunucularının (C2’ler) tümü, ağ şifrelemesi için kullanılan eski bir RC4 anahtarının yerini alan bir RSA genel anahtarıyla birlikte sabit uzaklıklara ayarlanmıştır.
Araştırmacılar on beş farklı Zloader varyantı keşfettiler ve hepsi aynı RSA genel anahtarını kullanıyor; bu da şu anda yalnızca bir tehdit aktörünün kötü amaçlı yazılımı kullandığını gösteriyor.
Son sözler
Zloader’ın yükleyici modülü, alan oluşturma sürecini de güncelleyen ve RSA şifrelemesini sunan en son sürümde önemli ölçüde değiştirildi. Bu, Zloader’ın 64 bit Windows işletim sistemleri için derlendiği ilk seferdi.
Zloader, kötü amaçlı yazılım araştırmasını engellemek için dize şifreleme, API içe aktarma karması ve gizleme amacıyla önemsiz kod kullanmaya devam ediyor.
Dijital sistem güvenliğini değerlendirmek için Kelltron’un uygun maliyetli sızma testi hizmetlerini deneyin. Ücretsiz demo mevcut.