近日,金山安全反病毒實驗室從多個用戶部署的一體化平臺上發現了幾起相似惡意樣本案例,經鑒定確認為Zbot家族新型變種,代號TrojanSpy:Zbot.HID,
Zbot木馬型間諜軟件新變種
。在實際案例中發現該木馬主要依靠郵件傳播,員工會不經意的點開了題為“回復”的郵件,雖然之后發現是垃圾郵件但并未發現有其他異常,在很多時間之內,該企業其他員工均收到了類似郵件,此時木馬已成功竊取了企業隱私數據并加以利用。
Zbot是一款木馬型間諜惡意軟件,自2010年發現至今,經歷多次演變,檢測難度越來越大, 攻擊對象也趨于定向化。而此次金山安全發現的Zbot.HID新變種具有多態化變形的免殺技術,幾乎規避了所有殺軟檢測,并更新了欺騙手段和隱藏技術。
以下是現場調取的部分郵件截圖,如果不仔細觀察很難辨識真假。
我們假設X為郵件附件,不慎被打開執行之后木馬會有以下幾種形式展示。
1. 創建出另一個多態的自己Y(由于使用了多態變形技術, Y和X二進制也變得不一樣), 之后遠程注入所有進程。
2. 注入后的線程Z(一個C語言編寫的PE文件)會再次生成其他功能線程, 更重要的是該木馬會inline hook 一些包括消息, 網絡, 剪貼板, 證書的系統API, 從而實現隱私竊取功能。
病毒INLINE HOOK的跳轉表
以HttpSendRequest舉例,在病毒HOOK代碼中,會將API有用的參數數據保存到磁盤文件中。
3. 木馬會有條件的記錄如網銀、 MSN、 數字證書、剪貼板等內容,并將其保存到一個文件數據庫中,同時會嘗試鏈接C&C服務器獲取進一步指令和傳送隱私數據。
4. 木馬的自啟動方式較為隱蔽。木馬會利用關機事件在關機時寫入注冊表啟動項,當開機啟動后又從注冊表中刪除掉自己,所以當木馬運行后通過檢測工具對常用的啟動項位置進行排查是無法發現該木馬的。
利用內核調試工具我們可以看到木馬在關機開機時的隱藏行為,能輕松躲過各種啟動項檢測工具。
ZBot.HID變種淺析
1. 郵件是ZBot的主要傳播途徑
介于企業內網性質,大多數入侵途徑依然集中在郵件和移動設備,使用了真實的注冊郵箱,標題常用“回復”“ 轉發”等冒充長期往來信件,從內容方面署名與發件人前后照應, 主體內容用詞恰當,段落落款規整,具有很強的欺騙性,
電腦資料
《Zbot木馬型間諜軟件新變種》(http://www.solarmaxlimited.com)。2. ZBot.HID變種加強了免殺和專殺免疫效果
老版ZBot主要采用C#.NET編寫,而此次Zbot.HID基本采用了VB5/6編寫,并加入了多態變形技術,每封郵件附件都有變化,其母體和釋放體二進制也并不完全相同,嘗試使用多款主流的VB反編譯工具對其進行反編譯都未能成功, 而且VB6本身的編碼方式相較于.NET相對更難被反編譯,這也就直接導致了目前殺軟通過特征碼技術或云查殺技術都很難及時有效的做出攔截。在染毒環境中使用了多家ZBot專殺工具后也無一能有效處理,說明此次變種也對專殺工具做了進一步免疫處理。
3. ZBot.HID變種具有隱私竊取技術手段
Inline Hook依然是其主要的隱私竊取途徑,但此次Zbot.HID變種再次更新了其隱藏方法, 技術細節可參閱文章上半部分圖文。
4. 利益聯盟聯合獲利
目前ZBot木馬除了通過C&C發送竊取的情報外,還集成了木馬下載器功能,通過監測數據表明通過郵件傳播盜的Fareit(可參閱金山與綠盟聯合檢測體系關于Fareit的相關報告http://www.2cto.com/Article/201511/450130.html), Gamarue(一種通過U盤傳播的木馬病毒),Cutwail(攜帶Rootkit內核攻擊工具)等都直接或間接成為了ZBot的聯盟。病毒及木馬一旦形成利益聯盟,那么他們的攻擊手段將會更加多樣化和立體化,并通過隱私數據分享合作,進一步擴大了他們的攻擊范圍和深度。
綜合看出ZBot.HID變種具備了以下幾個特點:
1. 運用社會工程學提高了郵件內容質量,更具有欺騙性,可輕易繞過垃圾郵件攔截。2. 升級的免殺技術和免疫能力進一步提高了其生存時間和空間,利用關開機時機進行自啟動隱藏也是本次新變種的一個新特征。3. 黑產聯盟壯大,在現場取證過程中,以ZBot為引線,挖掘出了一系列黑產成員,包括Fareit,Cutwail,Dofoil,Gamarue,Vobfuz,Kuluoz等一系列惡意樣本,攻擊角度非常全面立體。
解決方案
在整個攻擊從郵件附件X -> 生成自啟動Y -> 注入體Z的過程中,多數廠商對Z的檢出會高很多,可能是因為注入的Z是由c語言編寫, 而且各家基于啟發式的手段對API序列檢測也多少能夠識別,但對X的檢出基本上是無法檢出或很久之后才能識別。 所以問題在于一旦到了Z環節, 攻擊就已經成功了, 難以達到防患于未然。
在此次事件調查過程中, 金山安全一體化平臺起到了至關重要的作用, 當文件進入企業內網時會先進入鑒定平臺進行動態行為鑒定, 一旦發現威脅即可立即鎖定,在X環即可有效攔截。