Mã độc Zloader, một trojan mô-đun tinh vi dựa trên Zeus xuất hiện lần đầu vào năm 2015, đã trải qua quá trình biến đổi đáng kể. Từ mục đích ban đầu tập trung vào ngân hàng, nó đã trở thành một công cụ nguy hiểm cho việc truy cập ban đầu và triển khai các cuộc tấn công ransomware trong môi trường doanh nghiệp.

Sau gần hai năm tạm ngừng hoạt động, phần mềm độc hại này đã tái xuất vào tháng 9 năm 2023. Các phiên bản mới đi kèm với những cải tiến đáng kể về kỹ thuật che giấu, thuật toán tạo tên miền (DGA), khả năng chống phân tích và các giao thức liên lạc mạng.

Sự Tiến Hóa Của Mã Độc Zloader

Tái Xuất và Những Cải Tiến Quan Trọng

Phân tích gần đây của Zscaler ThreatLabz đã tiết lộ hai phiên bản mới của Zloader (2.11.6.0 và 2.13.7.0).

Các phiên bản này thể hiện những cải tiến đáng chú ý trong giao tiếp mạng, kỹ thuật chống phân tích và khả năng né tránh. Bạn có thể tìm hiểu thêm về phân tích kỹ thuật này tại Zscaler ThreatLabz.

Điều khiến mối đe dọa này đặc biệt đáng lo ngại là cách tiếp cận triển khai có mục tiêu. Mã độc Zloader được triển khai chọn lọc tại các thực thể cụ thể thay vì thông qua các chiến dịch phát tán hàng loạt không phân biệt.

Cơ Chế Chống Phân Tích và Né Tránh Phát Hiện

Các phiên bản mã độc Zloader mới nhất đã giới thiệu một số cơ chế chống phân tích tinh vi. Chúng được thiết kế để né tránh sự phát hiện của các môi trường sandbox tự động.

Một thay đổi đáng chú ý liên quan đến yêu cầu tên tệp của phần mềm độc hại. Các mẫu mã độc Zloader hiện chấp nhận hai tên tệp chung mới là Updater.exe và Updater.dll.

Điều này cung cấp cho các tác nhân đe dọa sự linh hoạt cao hơn trong việc triển khai và cập nhật.

Phần mềm độc hại cũng đã triển khai các lớp che giấu bổ sung sử dụng các hàm giải mã số nguyên dựa trên XOR. Điều này làm phức tạp đáng kể các nỗ lực phân tích.

Các nhà nghiên cứu bảo mật đã phát triển các script IDA chuyên biệt để xuyên qua các lớp che giấu này. Nhờ đó, chức năng thực sự ẩn dưới nhiều rào cản mã hóa đã được tiết lộ.

Kỹ Thuật Né Tránh Thông Minh: Kiểm Tra Mức Độ Toàn Vẹn Tiến Trình

Một kỹ thuật né tránh đặc biệt khéo léo liên quan đến việc kiểm tra mức độ toàn vẹn của tiến trình. Mã độc Zloader sẽ tự chấm dứt thực thi nếu nó phát hiện các tiến trình có toàn vẹn cao (high integrity).

Các môi trường Windows hiện đại thường chạy các tiến trình tiêu chuẩn với toàn vẹn trung bình (medium integrity).

Cơ chế này nhắm mục tiêu cụ thể vào các sandbox malware, thường thực thi các mẫu với quyền quản trị. Khi chạy với toàn vẹn trung bình, mã độc Zloader cài đặt trong thư mục %APPDATA%.

Trong khi đó, thực thi với toàn vẹn hệ thống sẽ dẫn đến việc cài đặt trong thư mục %PROGRAMFILES%. Đây là một chi tiết quan trọng giúp nhận diện hoạt động của nó.

Cập Nhật Hạ Tầng Giao Tiếp Mạng và C2

Cải Tiến Giao Thức Mạng

Hạ tầng giao tiếp mạng của mã độc Zloader đã trải qua những nâng cấp đáng kể. Điều này bao gồm việc loại bỏ thuật toán tạo tên miền (DGA) ít được sử dụng và giới thiệu những thay đổi quan trọng đối với mã hóa đường hầm DNS.

Phần mềm độc hại hiện hỗ trợ giao thức WebSockets, cho phép nó hòa trộn hiệu quả hơn với lưu lượng web hợp pháp. Điều này giúp né tránh các hệ thống phát hiện dựa trên mạng.

Giao thức DNS command-and-control (C2) đã được cải tiến hoàn toàn. Nó thay thế mã hóa TLS trước đây bằng mã hóa Base32 được phủ lên một thuật toán mã hóa tùy chỉnh.

Thay đổi này giải quyết cấu trúc dễ nhận dạng của các thông điệp TLS trong lưu lượng DNS, khiến việc phát hiện trở nên khó khăn hơn đáng kể đối với các công cụ bảo mật mạng.

Mã Hóa Đường Hầm DNS Mới

Giao thức đường hầm DNS mới tích hợp một trường khóa phiên (session key) chứa một DWORD ngẫu nhiên. Khóa này được sử dụng xuyên suốt quá trình trao đổi thông tin.

Khóa phiên này tạo ra một khóa mã hóa cuối cùng thông qua các phép toán XOR với các DWORD cứng được nhúng trong tệp nhị phân của phần mềm độc hại. Điều này tạo ra các mẫu mã hóa độc đáo cho các phiên bản mã độc Zloader khác nhau.

Chức Năng LDAP Mở Rộng cho Di Chuyển Ngang

Phát Hiện Mạng và Di Chuyển Nội Bộ

Các phiên bản mã độc Zloader mới nhất bao gồm chức năng LDAP (Lightweight Directory Access Protocol) toàn diện. Nó được thiết kế đặc biệt để cải thiện khả năng phát hiện mạng và di chuyển ngang (lateral movement) trong môi trường doanh nghiệp.

Các lệnh shell mới này cho phép các tác nhân đe dọa xác thực với máy chủ LDAP, thực hiện tìm kiếm đồng bộ và không đồng bộ, truy xuất các mục và thuộc tính thư mục, và quản lý các phiên LDAP một cách hiệu quả.

Các chức năng LDAP chính bao gồm ldap_bind_s để xác thực máy chủ, ldap_search_s để tìm kiếm thư mục đồng bộ, và ldap_get_values để truy xuất thuộc tính.

Những khả năng này cung cấp cho kẻ tấn công các công cụ trinh sát Active Directory mở rộng. Chúng cho phép kẻ tấn công lập bản đồ cấu trúc mạng, xác định các mục tiêu có giá trị và leo thang đặc quyền một cách có hệ thống.

Từ Trojan Ngân Hàng Đến Công Cụ Triển Khai Ransomware

Sự tiến hóa của mã độc Zloader từ một trojan ngân hàng thành một công cụ triển khai ransomware đại diện cho một sự thay đổi đáng kể trong chiến thuật của tội phạm mạng.

Kiến trúc mô-đun và các khả năng nâng cao của phần mềm độc hại này khiến nó trở thành một công cụ môi giới truy cập ban đầu lý tưởng.

Nó cung cấp cho tội phạm mạng các phương pháp tinh vi để thiết lập sự hiện diện dai dẳng trong các mạng doanh nghiệp. Điều này cho phép chúng thực hiện các cuộc tấn công ransomware quy mô lớn.

Các lệnh shell tương tác cho phép các tác nhân đe dọa thực thi các lệnh tùy ý, triển khai các payload phần mềm độc hại giai đoạn hai, chạy shellcode, lấy cắp dữ liệu nhạy cảm và chấm dứt các tiến trình cụ thể.

Kết hợp với chức năng LDAP mới, các khả năng này tạo ra một nền tảng toàn diện cho các hoạt động ransomware, từ xâm nhập ban đầu đến triển khai payload cuối cùng.

Thách Thức và Biện Pháp Đối Phó Trong An Ninh Mạng

Phát Hiện và Ứng Phó

Tính chất nhắm mục tiêu của việc triển khai mã độc Zloader tạo ra những thách thức bổ sung cho các chuyên gia an ninh mạng.

Không giống như các chiến dịch phần mềm độc hại phổ rộng, việc nhắm mục tiêu chọn lọc của mã độc Zloader có nghĩa là ít mẫu được quan sát trong môi trường thực tế, làm giảm cơ hội phát triển chữ ký và thu thập thông tin tình báo về mối đe dọa.

Các giải pháp bảo mật phải thích ứng để phát hiện các giao thức mã hóa DNS tùy chỉnh của mã độc Zloader, giao tiếp WebSocket và các kỹ thuật chống phân tích tinh vi của nó.

Khả năng hoạt động của phần mềm độc hại với đặc quyền người dùng tiêu chuẩn trong khi vẫn duy trì quyền truy cập hệ thống mở rộng làm phức tạp các phương pháp phát hiện dựa trên đặc quyền truyền thống.

Các tổ chức phải triển khai giám sát mạng toàn diện để xác định các hoạt động đường hầm DNS đáng ngờ, các truy vấn LDAP bất thường và các kết nối WebSocket chệch khỏi hoạt động kinh doanh bình thường.

Đào tạo nâng cao nhận thức bảo mật thường xuyên tập trung vào các vectơ truy cập ban đầu vẫn rất quan trọng, vì mã độc Zloader thường yêu cầu tương tác của người dùng hoặc khai thác các lỗ hổng hiện có để thiết lập chỗ đứng.

Sự xuất hiện của mã độc Zloader như một công cụ truy cập ban đầu tinh vi nhấn mạnh bối cảnh đe dọa đang phát triển, nơi các trojan ngân hàng truyền thống đang được tái sử dụng cho các hoạt động ransomware sinh lợi hơn.

Khả năng né tránh tiên tiến, các giao thức liên lạc mạng được tăng cường và các công cụ di chuyển ngang toàn diện khiến nó trở thành một mối đe dọa đáng gờm đối với các môi trường doanh nghiệp trên toàn thế giới, đòi hỏi sự cảnh giác cao độ trong an ninh mạng.