Zbot木馬型間諜軟件新變種 -電腦資料

    近日，金山安全反病毒實驗室從多個用戶部署的一體化平臺上發(fā)現(xiàn)了幾起相似惡意樣本案例，經(jīng)鑒定確認(rèn)為Zbot家族新型變種，代號TrojanSpy:Zbot.HID，

Zbot木馬型間諜軟件新變種

    在實際案例中發(fā)現(xiàn)該木馬主要依靠郵件傳播，員工會不經(jīng)意的點(diǎn)開了題為“回復(fù)”的郵件，雖然之后發(fā)現(xiàn)是垃圾郵件但并未發(fā)現(xiàn)有其他異常，在很多時間之內(nèi)，該企業(yè)其他員工均收到了類似郵件，此時木馬已成功竊取了企業(yè)隱私數(shù)據(jù)并加以利用。

    Zbot是一款木馬型間諜惡意軟件，自2010年發(fā)現(xiàn)至今，經(jīng)歷多次演變，檢測難度越來越大， 攻擊對象也趨于定向化。而此次金山安全發(fā)現(xiàn)的Zbot.HID新變種具有多態(tài)化變形的免殺技術(shù)，幾乎規(guī)避了所有殺軟檢測，并更新了欺騙手段和隱藏技術(shù)。

    以下是現(xiàn)場調(diào)取的部分郵件截圖，如果不仔細(xì)觀察很難辨識真假。

    我們假設(shè)X為郵件附件，不慎被打開執(zhí)行之后木馬會有以下幾種形式展示。

    1. 創(chuàng)建出另一個多態(tài)的自己Y(由于使用了多態(tài)變形技術(shù)， Y和X二進(jìn)制也變得不一樣)， 之后遠(yuǎn)程注入所有進(jìn)程。

    2. 注入后的線程Z(一個C語言編寫的PE文件)會再次生成其他功能線程， 更重要的是該木馬會inline hook 一些包括消息， 網(wǎng)絡(luò)， 剪貼板， 證書的系統(tǒng)API， 從而實現(xiàn)隱私竊取功能。

    病毒INLINE HOOK的跳轉(zhuǎn)表

    以HttpSendRequest舉例，在病毒HOOK代碼中，會將API有用的參數(shù)數(shù)據(jù)保存到磁盤文件中。

    3. 木馬會有條件的記錄如網(wǎng)銀、 MSN、 數(shù)字證書、剪貼板等內(nèi)容，并將其保存到一個文件數(shù)據(jù)庫中，同時會嘗試鏈接C&C服務(wù)器獲取進(jìn)一步指令和傳送隱私數(shù)據(jù)。

    4. 木馬的自啟動方式較為隱蔽。木馬會利用關(guān)機(jī)事件在關(guān)機(jī)時寫入注冊表啟動項，當(dāng)開機(jī)啟動后又從注冊表中刪除掉自己，所以當(dāng)木馬運(yùn)行后通過檢測工具對常用的啟動項位置進(jìn)行排查是無法發(fā)現(xiàn)該木馬的。

    利用內(nèi)核調(diào)試工具我們可以看到木馬在關(guān)機(jī)開機(jī)時的隱藏行為，能輕松躲過各種啟動項檢測工具。

    ZBot.HID變種淺析

    1. 郵件是ZBot的主要傳播途徑

    介于企業(yè)內(nèi)網(wǎng)性質(zhì)，大多數(shù)入侵途徑依然集中在郵件和移動設(shè)備，使用了真實的注冊郵箱，標(biāo)題常用“回復(fù)”“ 轉(zhuǎn)發(fā)”等冒充長期往來信件，從內(nèi)容方面署名與發(fā)件人前后照應(yīng)， 主體內(nèi)容用詞恰當(dāng)，段落落款規(guī)整，具有很強(qiáng)的欺騙性，

電腦資料

    2. ZBot.HID變種加強(qiáng)了免殺和專殺免疫效果

    老版ZBot主要采用C#.NET編寫，而此次Zbot.HID基本采用了VB5/6編寫，并加入了多態(tài)變形技術(shù)，每封郵件附件都有變化，其母體和釋放體二進(jìn)制也并不完全相同，嘗試使用多款主流的VB反編譯工具對其進(jìn)行反編譯都未能成功， 而且VB6本身的編碼方式相較于.NET相對更難被反編譯，這也就直接導(dǎo)致了目前殺軟通過特征碼技術(shù)或云查殺技術(shù)都很難及時有效的做出攔截。在染毒環(huán)境中使用了多家ZBot專殺工具后也無一能有效處理，說明此次變種也對專殺工具做了進(jìn)一步免疫處理。

    3. ZBot.HID變種具有隱私竊取技術(shù)手段

    Inline Hook依然是其主要的隱私竊取途徑，但此次Zbot.HID變種再次更新了其隱藏方法， 技術(shù)細(xì)節(jié)可參閱文章上半部分圖文。

    4. 利益聯(lián)盟聯(lián)合獲利

    目前ZBot木馬除了通過C&C發(fā)送竊取的情報外，還集成了木馬下載器功能，通過監(jiān)測數(shù)據(jù)表明通過郵件傳播盜的Fareit(可參閱金山與綠盟聯(lián)合檢測體系關(guān)于Fareit的相關(guān)報告http://www.2cto.com/Article/201511/450130.html)， Gamarue(一種通過U盤傳播的木馬病毒)，Cutwail(攜帶Rootkit內(nèi)核攻擊工具)等都直接或間接成為了ZBot的聯(lián)盟。病毒及木馬一旦形成利益聯(lián)盟，那么他們的攻擊手段將會更加多樣化和立體化，并通過隱私數(shù)據(jù)分享合作，進(jìn)一步擴(kuò)大了他們的攻擊范圍和深度。

    綜合看出ZBot.HID變種具備了以下幾個特點(diǎn)：

1. 運(yùn)用社會工程學(xué)提高了郵件內(nèi)容質(zhì)量，更具有欺騙性，可輕易繞過垃圾郵件攔截。2. 升級的免殺技術(shù)和免疫能力進(jìn)一步提高了其生存時間和空間，利用關(guān)開機(jī)時機(jī)進(jìn)行自啟動隱藏也是本次新變種的一個新特征。3. 黑產(chǎn)聯(lián)盟壯大，在現(xiàn)場取證過程中，以ZBot為引線，挖掘出了一系列黑產(chǎn)成員，包括Fareit，Cutwail，Dofoil，Gamarue，Vobfuz，Kuluoz等一系列惡意樣本，攻擊角度非常全面立體。

    解決方案

    在整個攻擊從郵件附件X -> 生成自啟動Y -> 注入體Z的過程中，多數(shù)廠商對Z的檢出會高很多，可能是因為注入的Z是由c語言編寫， 而且各家基于啟發(fā)式的手段對API序列檢測也多少能夠識別，但對X的檢出基本上是無法檢出或很久之后才能識別。 所以問題在于一旦到了Z環(huán)節(jié)， 攻擊就已經(jīng)成功了， 難以達(dá)到防患于未然。

    在此次事件調(diào)查過程中， 金山安全一體化平臺起到了至關(guān)重要的作用， 當(dāng)文件進(jìn)入企業(yè)內(nèi)網(wǎng)時會先進(jìn)入鑒定平臺進(jìn)行動態(tài)行為鑒定， 一旦發(fā)現(xiàn)威脅即可立即鎖定，在X環(huán)即可有效攔截。