以往攻击者传播金融木马的渠道,多半是利用内有恶意宏的Office文件,作为钓鱼邮件进行攻击。但今年出现了较为复杂的新手法,例如,在金融木马ZLoader(也称为Terdot)近期的新攻击行动中,黑客通过合法的MSI文件来传播,并具备停用Windows内置杀毒软件的模块。
ZLoader是典型的金融木马,最早约在2016年出现,是由另一款恶名昭彰的木马程序Zeus发展而来,原本主要是通过网页注入(Web Injection)的方式,来窃取Cookies、密码,以及上网用户的敏感信息,攻击目标是全球各地金融机构的用户,黑客也运用ZLoader来发送Egregor、Ryuk等勒索软件,或是其他的恶意软件。但如今,攻击者执行ZLoader的方式,比起以往更加复杂。
例如,安全企业SentinelOne于9月13日,披露最近一波ZLoader的攻击行动细节。攻击者先是通过投放Google广告,锁定使用“Team viewer download”作为关键字的用户,一旦用户点击了攻击者购买的广告,就会被引导到冒牌TeamViewer的网站,下载MSI安装文件,但实际上,若是用户执行这个文件,将会在受害计算机植入ZLoader。
值得留意的是,有别于许多冒名TeamViewer的恶意程序,这次攻击者提供的文件具有合法签章。SentinelOne指出,该恶意程序凭证署名的时间为今年的8月23日,是由加拿大布兰普顿软件公司Flyintellect Inc签署,但这家公司始于6月29日登记成立,研究人员推测,该公司很可能是攻击者为了合法凭证所设立。
除了假冒TeamViewer的安装程序(Team-Viewer.msi),研究人员发现,攻击者还利用上述的合法凭证,签署冒牌的Java插件程序(JavaPlug-in.msi)、Zoom(Zoom.msi),以及Discord(discord.msi)等安装软件。SentinelOne指出,他们在发布此次事故的分析结果之际,这4个冒牌安装程序皆无法通过VirusTotal识别为有害。
在用户不疑有他执行这些冒牌安装程序之后,它们会先随机产生一些合法的文件,再通过PowerShell取得更新用的脚本(Script),接着停用Microsoft Defender所有模块,并将regsvr32、EXE可执行文件、DLL程序库设置为例外,以便后续恶意程序的组件不会被拦截。
最终攻击者才会下载名为tim.exe的文件,并通过文件总管(explorer.exe),以本地取材(Living Off The Land Binaries and Scripts,LOLBAS)的方式侧载执行,这么做的目的,是要让端点侦测与回应系统(EDR)难以串联子母处理程序之间的关联。而这个tim.exe接着会产生恶意脚本tim.bat,下载ZLoader的酬载DLL文件(tim.dll)。当然,执行ZLoader的方式也是通过本地取材,由regsvr32侧载来运行。
什么是“本地取材(Living Off The Land)”?简单来说就是利用受害计算机所具备的现成工具,来挟带恶意软件,或是执行侦察、下载恶意软件等工作。而这样的手法,后来有安全研究人员以使用的工具形态来进行区分,其中同时运用可执行程序(Binary)和脚本(Script),或者是可执行程序与程序库(Library)的情况,被称为LOLBAS。以上述的攻击过程里,文件总管、regsvr32都是攻击者本地取材所运用的内置软件。
而针对ZLoader的攻击目标,在SentinelOne连一步分析后,发现了该恶意酬载嵌入澳洲与德国域名列表,且针对银行机构而来。至于上述攻击工具文件名称的“Tim”,SentinelOne认为是攻击者所使用的僵尸网络名称,该公司指出,这个僵尸网络是由超过350个C2中继站所组成。