Zloader 캠페인 탐지
목차:
악명 높은 Zloader 뱅킹 트로이 목마가 새로운 공격 루틴과 회피 기술을 갖추고 돌아왔습니다. 최신 Zloader 캠페인은 스팸 및 피싱에서 악성 Google 광고로 전환하는 새로운 감염 벡터를 활용합니다. 또한 Microsoft Defender 모듈을 비활성화하는 정교한 메커니즘은 Zloader가 감지되지 않게 합니다.
연구원들에 따르면, 최신 기능 변화로 인해 Zloader는 랜섬웨어-서비스-형태(RaaS) 프로그램을 활용할 수 있게 되었습니다. 2021년 9월 22일, 미국 사이버 보안 및 인프라 보안국(CISA)은 경고했습니다 Conti 랜섬웨어 감염이 크게 증가했으며, Zloader 인프라가 주요 배포 채널로 사용되고 있다고 합니다.
Zloader 맬웨어란 무엇인가?
Zloader는 2006년부터 운영되고 있는 악명 높은 Zeus 뱅킹 트로이 목마의 악성 후속작으로, Tredot이라고도 알려져 있습니다. Zeus 소스 코드는 2011년에 유출된 이후 여러 변종이 악성 환경에 퍼졌으며, Zloader는 그중에서도 가장 생산적인 샘플 중 하나입니다.
처음에는 이 맬웨어는 완전한 기능을 갖춘 뱅킹 맬웨어로 작동하여 호주, 유럽, 북남미의 금융 기관을 타겟으로 삼았습니다. 정보 탈취 기능은 웹 인젝션과 사회 공학적 트릭에 의해 강화되어, 예상치 못한 피해자로부터 로그인 자격 증명 및 기타 민감 정보를 수집했습니다.
Zloader는 시간이 지나면서 백도어와 원격 액세스 기능이 향상된 다목적 드로퍼로 진화했습니다. 최근 몇 년 동안 수많은 악성 캠페인이 관찰되었습니다 이러한 샘플을 Cobalt Strike, DarkSide, Ryuk, Egregor 및 Conti로 전달하기 위해. 그 결과, 트로이 목마는 랜섬웨어 제휴사 및 기타 해킹 단체들 사이에서 맬웨어 드로퍼로 강력한 명성을 얻었습니다.
Zloader 감염 체인 및 회피 능력
최근 SentinelLabs의 조사 는 Zloader 유지 관리자가 채택한 새로운 공격 루틴을 자세히 설명했습니다. 특히 위협 행위자는 전통적인 스팸 및 피싱에서 악성 Google 광고로 방향을 바꾸었습니다. 연구원들은 Microsoft의 TeamViewer, Zoom, 및 Discord 미끼가 Zloader를 푸시하는 데 사용된다는 것을 발견했습니다.
Microsoft도 이 새로운 Zloader 트렌드에 주목하며, 악성 Google 광고가 피해자를 소프트웨어를 호스팅한다고 주장하는 사기 웹 페이지로 연결한다고 설명한다. 그러나 이러한 웹사이트는 ZLoader 페이로드를 피해자에게 전달하는 악성 MSI 설치 프로그램을 푸시합니다. 이러한 설치 프로그램은 백도어가 있는 바이너리와 LOLBAS 세트를 활용하여 보호를 우회합니다. this new Zloader trend detailing that malicious Google ads link victims to fraudulent web pages that allegedly host legitimate software. However, these websites push malicious MSI installers that deliver ZLoader payloads to victims. Such installers leverage backdoored binaries and a set of LOLBAS to overcome the protections.
Zloader 운영자가 악성 코드를 정당화하기 위해 사기 회사를 등록하고 설치 프로그램에 암호로 서명했습니다. 2021년 8월부터 SentinelLabs 연구원은 캐나다에 위치한 Flyintellect Inc라는 소프트웨어 회사에서 생산한 유효한 인증서로 서명된 바이너리를 관찰하고 있습니다.
새로운 배포 방법 외에도 Zloader에는 Microsoft Defender Antivirus(이전의 Windows Defender)를 비활성화하는 메커니즘이 도입되었습니다. 특히, 새로운 Zloader 페이로드 실행 체인은 여러 단계로 구성됩니다. MSI 설치 프로그램은 .BAT 파일을 드롭할 전용 디렉토리를 생성하는 1단계 드로퍼로 작동합니다. 이후 이 파일은 Windows cmd.exe 기능을 통해 2단계 다운로더를 다운로드하는 데 사용됩니다. 이 로더는 Microsoft Defender 루틴을 비활성화하고 맬웨어를 안티바이러스로부터 숨기는 ‘updatescript.bat’ 스크립트를 푸시하는 3단계를 시작합니다. 동시에, 4단계 드로퍼를 ‘tim.exe’ 형태로 다운로드하여 ‘tim.dll’로 Zloader DLL을 로드합니다.
새로운 감염 체인이 공격을 진행하기 위해 복잡한 인프라에 의존한다는 점은 주목할 가치가 있습니다. 특히 위협 행위자는 2021년 4월부터 8월까지 등록된 350개 이상의 다른 웹 도메인을 통합한 Tim 봇넷을 사용합니다.
Zloader 감지
Zloader 인프라와 공격 루틴에 대한 모든 혁신은 맬웨어 기능의 점점 더 정교해지는 것을 나타내며, 특히 은밀한 감염에 중점을 둡니다. 귀하의 회사 인프라에 대한 가능한 공격을 감지하기 위해, 당사의 위협 현상금 개발자가 개발한 Sigma 규칙 세트를 다운로드할 수 있습니다.
Microsoft 365 Defender 사냥 쿼리 ZLoader 캠페인
Windows Defender AV의 예외 수정을 통해 새로운 Zloader 감염 체인 사냥
SOC Prime 플랫폼의 위협 탐지 마켓플레이스 저장소에서 사용 가능한 탐지 목록 전체는 여기.
에 등록하여 위협 탐지를 더 쉽고 빠르고 간단하게 만드십시오. 20개 이상의 지원되는 SIEM 및 XDR 기술 내에서 최신 위협을 즉시 사냥하고, 위협 조사를 자동화하며, 20,000명 이상의 보안 전문가 커뮤니티의 피드백과 검토를 통해 보안 작업을 강화하십시오. 자체 탐지 콘텐츠를 만들고 싶으십니까? 우리 위협 현상금 프로그램에 참여하여 Sigma 및 Yara 규칙을 위협 탐지 마켓플레이스 저장소에 공유하고 개인의 기여를 위해 반복적인 보상을 받으십시오!
