近日,金山安全反病毒实验室从多个用户部署的一体化平台上发现了几起相似恶意样本案例,经鉴定确认为Zbot家族新型变种,代号TrojanSpy:Zbot.HID。
在实际案例中发现该木马主要依靠邮件传播,员工会不经意的点开了题为“回复”的邮件,虽然之后发现是垃圾邮件但并未发现有其他异常,在很多时间之内,该企业其他员工均收到了类似邮件,此时木马已成功窃取了企业隐私数据并加以利用。
Zbot是一款木马型间谍恶意软件,自2010年发现至今,经历多次演变,检测难度越来越大, 攻击对象也趋于定向化。而此次金山安全发现的Zbot.HID新变种具有多态化变形的免杀技术,几乎规避了所有杀软检测,并更新了欺骗手段和隐藏技术。
以下是现场调取的部分邮件截图,如果不仔细观察很难辨识真假。
我们假设X为邮件附件,不慎被打开执行之后木马会有以下几种形式展示。
1. 创建出另一个多态的自己Y(由于使用了多态变形技术, Y和X二进制也变得不一样), 之后远程注入所有进程。
2. 注入后的线程Z(一个C语言编写的PE文件)会再次生成其他功能线程, 更重要的是该木马会inline hook 一些包括消息, 网络, 剪贴板, 证书的系统API, 从而实现隐私窃取功能。
病毒INLINE HOOK的跳转表 以HttpSendRequest举例,在病毒HOOK代码中,会将API有用的参数数据保存到磁盘文件中。
3. 木马会有条件的记录如网银、 MSN、 数字证书、剪贴板等内容,并将其保存到一个文件数据库中,同时会尝试链接C&C服务器获取进一步指令和传送隐私数据。
4. 木马的自启动方式较为隐蔽。木马会利用关机事件在关机时写入注册表启动项,当开机启动后又从注册表中删除掉自己,所以当木马运行后通过检测工具对常用的启动项位置进行排查是无法发现该木马的。
利用内核调试工具我们可以看到木马在关机开机时的隐藏行为,能轻松躲过各种启动项检测工具。
ZBot.HID变种浅析 1. 邮件是ZBot的主要传播途径
介于企业内网性质,大多数入侵途径依然集中在邮件和移动设备,使用了真实的注册邮箱,标题常用“回复”“ 转发”等冒充长期往来信件,从内容方面署名与发件人前后照应, 主体内容用词恰当,段落落款规整,具有很强的欺骗性。
2. ZBot.HID变种加强了免杀和专杀免疫效果
老版ZBot主要采用C#.NET编写,而此次Zbot.HID基本采用了VB5/6编写,并加入了多态变形技术,每封邮件附件都有变化,其母体和释放体二进制也并不完全相同,尝试使用多款主流的VB反编译工具对其进行反编译都未能成功, 而且VB6本身的编码方式相较于.NET相对更难被反编译,这也就直接导致了目前杀软通过特征码技术或云查杀技术都很难及时有效的做出拦截。在染毒环境中使用了多家ZBot专杀工具后也无一能有效处理,说明此次变种也对专杀工具做了进一步免疫处理。
3. ZBot.HID变种具有隐私窃取技术手段
Inline Hook依然是其主要的隐私窃取途径,但此次Zbot.HID变种再次更新了其隐藏方法, 技术细节可参阅文章上半部分图文。
4. 利益联盟联合获利
目前ZBot木马除了通过C&C发送窃取的情报外,还集成了木马下载器功能,通过监测数据表明通过邮件传播盗的Fareit(可参阅金山与绿盟联合检测体系关于Fareit的相关报告http://blog.nsfocus.net/fareit-trojan-analysis-protection/), Gamarue(一种通过U盘传播的木马病毒),Cutwail(携带Rootkit内核攻击工具)等都直接或间接成为了ZBot的联盟。病毒及木马一旦形成利益联盟,那么他们的攻击手段将会更加多样化和立体化,并通过隐私数据分享合作,进一步扩大了他们的攻击范围和深度。
综合看出ZBot.HID变种具备了以下几个特点:
1. 运用社会工程学提高了邮件内容质量,更具有欺骗性,可轻易绕过垃圾邮件拦截。2. 升级的免杀技术和免疫能力进一步提高了其生存时间和空间,利用关开机时机进行自启动隐藏也是本次新变种的一个新特征。3. 黑产联盟壮大,在现场取证过程中,以ZBot为引线,挖掘出了一系列黑产成员,包括Fareit,Cutwail,Dofoil,Gamarue,Vobfuz,Kuluoz等一系列恶意样本,攻击角度非常全面立体。解决方案
在整个攻击从邮件附件X -> 生成自启动Y -> 注入体Z的过程中,多数厂商对Z的检出会高很多,可能是因为注入的Z是由c语言编写, 而且各家基于启发式的手段对API序列检测也多少能够识别,但对X的检出基本上是无法检出或很久之后才能识别。 所以问题在于一旦到了Z环节, 攻击就已经成功了, 难以达到防患于未然。
在此次事件调查过程中, 金山安全一体化平台起到了至关重要的作用, 当文件进入企业内网时会先进入鉴定平台进行动态行为鉴定, 一旦发现威胁即可立即锁定,在X环即可有效拦截。
*本文作者:金山毒霸(企业帐号),转载须注明来自FreeBuf黑客与极客(FreeBuf.COM) | 
发表于 2015-12-10 21:28:29
发表于 2015-12-11 19:35:18