Zloader木马再次升级:通过DNS隧道和WebSocket C2实现更隐蔽的攻击
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
Zloader恶意软件在沉寂两年后重新出现,已转变为模块化的勒索软件平台,增强了反分析和命令控制能力,采用自定义DNS隧道和WebSocket,提升了隐蔽性和攻击灵活性,成为勒索团伙的重要工具,专门针对高价值目标。
🎯
关键要点
- Zloader恶意软件在沉寂两年后重新出现,转变为模块化的勒索软件平台。
- Zloader的反分析、混淆及命令控制能力显著增强,成为攻击者渗透企业网络的入口点。
- 该恶意软件基于2015年泄露的Zeus源代码开发,并持续迭代进化。
- 新版Zloader改进了自定义DNS隧道协议和WebSocket支持,提升了隐蔽性和攻击灵活性。
- Zloader展现出高级沙箱规避能力,采用多层混淆技术和自动退出机制。
- 新增LDAP功能套件使攻击者能够深入渗透企业环境,提升网络探测和横向移动能力。
- 指挥控制体系迎来三项关键改进,采用Base32编码和WebSocket支持,规避网络检测。
- Zloader目前仅针对高价值目标,精准攻击策略导致样本捕获率较低,成为勒索团伙的重要工具。
➡️
