2015 yılında ilk kez ortaya çıkan sofistike Zeus tabanlı modüler Truva atı olan Zloader, kurumsal ortamlarda başlangıç erişim ve fidye yazılımı dağıtım için tehlikeli bir araç haline gelmek için orijinal bankacılık odaklı amacından önemli bir dönüşüm geçirdi.
Neredeyse iki yıllık bir aradan sonra, bu kötü amaçlı yazılım Eylül 2023’te gizleme tekniklerinde, alan üretimi algoritması, anti-analiz yetenekleri ve ağ iletişimi protokollerinde önemli geliştirmelerle yeniden ortaya çıktı.
Zscaler tehdidi tarafından yapılan son analizler, ağ iletişiminde, anti-analiz tekniklerinde ve kaçırma yeteneklerinde dikkate değer iyileştirmeler gösteren Zloader’ın (2.11.6.0 ve 2.13.7.0) iki yeni versiyonunu ortaya koydu.
Bu tehdidi özellikle ilgili kılan şey, hedeflenen dağıtım yaklaşımıdır, Zloader ayrım gözetmeyen kitle dağıtım kampanyaları yerine belirli varlıklarda seçici olarak konuşlandırılır.
En son Zloader versiyonları, otomatik kötü amaçlı yazılım sanal alan ortamları tarafından tespitten kaçınmak için tasarlanmış birkaç sofistike anti-analiz mekanizması sundu.
Önemli bir değişiklik, Zloader örneklerinin artık iki yeni jenerik dosya adını kabul ettiği kötü amaçlı yazılımların dosya adı gereksinimlerini içerir: updater.exe ve updater.dll, tehdit aktörlerine dağıtım ve güncellemelerde daha fazla esneklik sağlıyor.
Kötü amaçlı yazılım ayrıca XOR tabanlı tamsayı kod çözme işlevlerini kullanarak ek gizleme katmanları uygulayarak analiz çabalarını önemli ölçüde karmaşıklaştırmıştır.
Güvenlik araştırmacıları, bu gizleme katmanlarına nüfuz etmek için özel IDA komut dosyaları geliştirdiler ve birden fazla şifreleme engelinin altındaki gerçek işlevselliği ortaya çıkardılar.
Özellikle akıllı bir kaçış tekniği, süreç bütünlük seviyesi kontrolünü içerir. Zloader, modern Windows ortamları tipik olarak orta bütünlükle standart işlemleri çalıştırdığından, yüksek bütünlük işlemlerini algılarsa yürütmeyi sonlandıracaktır.
Bu mekanizma, genellikle yönetici ayrıcalıklarına sahip örnekleri yürüten kötü amaçlı yazılım sanal alanlarını hedefler. Orta bütünlükle çalışırken, Zloader % AppData % dizinini yüklerken, sistem bütünlüğü yürütme % ProgramFiles % dizinine kurulumla sonuçlanır.
Gelişmiş Ağ İletişimi
Zloader’ın ağ iletişimi altyapısı, nadiren kullanılan alan üretimi algoritmasının kaldırılması ve DNS tünel şifrelemesinde önemli değişikliklerin getirilmesi de dahil olmak üzere önemli yükseltmeler geçirmiştir.
Kötü amaçlı yazılım artık WebSockets protokolünü destekleyerek ağ tabanlı algılama sistemlerini atlamak için meşru web trafiği ile daha etkili bir şekilde karışmasını sağlıyor.
DNS komut ve kontrol protokolü, önceki TLS şifrelemesini özel bir şifreleme algoritması üzerinde katmanlı Base32 kodlama ile değiştirerek tamamen yenilenmiştir.
Bu değişiklik, DNS trafiğindeki TLS mesajlarının kolayca tanımlanabilir yapısını ele alır ve algılamayı ağ güvenlik araçları için önemli ölçüde daha zor hale getirir.
Yeni DNS tünelleme protokolü, iletişim değişimleri boyunca kullanılan rastgele bir DWORD içeren bir oturum anahtarı alanı içerir.
Bu oturum anahtarı, kötü amaçlı yazılım ikili içine gömülü sabit kodlu DWords ile XOR işlemleri aracılığıyla son bir şifreleme anahtarı oluşturur ve farklı Zloader örnekleri için benzersiz şifreleme modelleri oluşturur.
En son Zloader sürümleri, özellikle kurumsal ortamlardaki ağ keşfi ve yanal hareket yeteneklerini geliştirmek için tasarlanmış kapsamlı LDAP (Hafif Dizin Erişim Protokolü) işlevini içerir.
Bu yeni kabuk komutları, tehdit aktörlerinin LDAP sunucuları ile kimlik doğrulaması yapmasını, senkron ve eşzamansız aramalar yapmasını, dizin girişlerini ve özniteliklerini almasını ve LDAP oturumlarını etkili bir şekilde yönetmelerini sağlar.
LDAP numaralandırma araçları ve örnek LDAP Arama Filtreleri, Active Directory ortamlarında ağ keşfi ve yanal hareket keşfi için kullanılan
Anahtar LDAP işlevleri arasında sunucu kimlik doğrulaması için LDAP_BIND_S, senkron dizin aramaları için LDAP_SEARCH_S ve öznitelik alma için LDAP_GET_VALUES bulunur.
Bu yetenekler, saldırganlara geniş Active Directory keşif araçları sağlar, ağ topolojisini haritalamalarını, değerli hedefleri tanımlamalarını ve ayrıcalıkları sistematik olarak artırmalarını sağlar.
Zloader’ın bir bankacılık truva atından fidye yazılımı dağıtım aracına evrimi, siber suçlu taktiklerde önemli bir değişimi temsil ediyor.
Kötü amaçlı yazılımların modüler mimarisi ve gelişmiş yetenekleri, siber suçlulara kurumsal ağlarda kalıcı varlık oluşturmak için sofistike yöntemler sağlayan ideal bir başlangıç erişim broker aracı haline getirir.
Etkileşimli kabuk komutları, tehdit aktörlerinin keyfi komutlar yürütmesine, ikinci aşamalı kötü amaçlı yazılım yüklerini dağıtmasına, kabuk kodunu çalıştırmasına, hassas verileri pessat etmesine ve belirli işlemleri sonlandırmasına izin verir. Yeni LDAP işlevselliği ile birleştiğinde, bu özellikler ilk uzlaşmadan nihai yük dağıtımına kadar fidye yazılımı işlemleri için kapsamlı bir platform oluşturur.
Hafifletme
Zloader dağıtımının hedefli doğası, siber güvenlik uzmanları için ek zorluklar yaratır.
Geniş spektrumlu kötü amaçlı yazılım kampanyalarından farklı olarak, Zloader’ın seçici hedeflemesi, vahşi doğada daha az örnek gözlenerek imza geliştirme ve tehdit istihbarat toplama fırsatlarını azaltır.
Güvenlik çözümleri, Zloader’ın özel DNS şifreleme protokollerini, WebSocket iletişimlerini ve sofistike anti-analiz tekniklerini tespit etmek için uyum sağlamalıdır.
Kötü amaçlı yazılımların kapsamlı sistem erişimini sürdürürken standart kullanıcı ayrıcalıklarıyla çalışma yeteneği, geleneksel ayrıcalık tabanlı algılama yöntemlerini zorlaştırır.
Kuruluşlar, şüpheli DNS tünelleme faaliyetlerini, olağandışı LDAP sorgularını ve normal iş operasyonlarından sapan WebSocket bağlantılarını tanımlamak için kapsamlı ağ izleme uygulamalıdır.
Zloader tipik olarak dayanağını kurmak için mevcut güvenlik açıklarının kullanıcı etkileşimini veya kullanıcı etkileşimini gerektirdiğinden, başlangıç erişim vektörlerine odaklanan düzenli güvenlik farkındalığı eğitimi çok önemlidir.
Zloader’ın sofistike bir başlangıç erişim aracı olarak ortaya çıkması, geleneksel bankacılık truva atlarının daha kazançlı fidye yazılımı operasyonları için yeniden kullanıldığı gelişen tehdit manzarasının altını çiziyor.
Gelişmiş kaçınma yetenekleri, gelişmiş ağ iletişim protokolleri ve kapsamlı yanal hareket araçları onu dünya çapında kurumsal ortamlar için zorlu bir tehdit haline getiriyor.
Uzlaşma Göstergeleri (IOCS)
| Gösterge | Tanım |
|---|---|
| 86FFD411B42D8D06BDB294F48E79393ADEA586C56C5C75C1A68CE6315932881 | Zloader örneği SHA256 |
| 01FC5C5FD03B793437ED70723D067B3330FB68A2DE87E9D8607C6B75CACA6356 | Zloader örneği SHA256 |
| adsemail.com | Zloader HTTPS C2 Sunucusu |
| adsmarks.com | Zloader HTTPS C2 Sunucusu |
| dt1.automotosport.net | Zloader DNS C2 Sunucusu |
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.