Zloader木马再次升级:通过DNS隧道和WebSocket C2实现更隐蔽的攻击
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
Zloader恶意软件在沉寂两年后重新出现,已转变为模块化的勒索软件平台,增强了反分析和命令控制能力,采用自定义DNS隧道和WebSocket,提升了隐蔽性和攻击灵活性,成为勒索团伙的重要工具,专门针对高价值目标。
🎯
关键要点
- Zloader恶意软件在沉寂两年后重新出现,转变为模块化的勒索软件平台。
- Zloader的反分析、混淆及命令控制能力显著增强,成为攻击者渗透企业网络的入口点。
- 该恶意软件基于2015年泄露的Zeus源代码开发,并持续迭代进化。
- 新版Zloader改进了自定义DNS隧道协议和WebSocket支持,提升了隐蔽性和攻击灵活性。
- Zloader展现出高级沙箱规避能力,采用多层混淆技术和自动退出机制。
- 新增LDAP功能套件使攻击者能够深入渗透企业环境,提升网络探测和横向移动能力。
- 指挥控制体系迎来三项关键改进,采用Base32编码和WebSocket支持,规避网络检测。
- Zloader目前仅针对高价值目标,精准攻击策略导致样本捕获率较低,成为勒索团伙的重要工具。
❓
延伸问答
Zloader恶意软件的主要功能是什么?
Zloader恶意软件已转变为模块化的勒索软件平台,成为攻击者渗透企业网络的入口点。
Zloader是如何增强隐蔽性的?
Zloader通过改进自定义DNS隧道协议和新增WebSocket支持,提升了隐蔽性和攻击灵活性。
Zloader的反分析能力有哪些改进?
新版Zloader展现出高级沙箱规避能力,采用多层混淆技术和自动退出机制。
Zloader如何进行网络探测和横向移动?
Zloader新增LDAP功能套件和交互式shell功能,显著提升了网络探测和横向移动能力。
Zloader的指挥控制体系有哪些关键改进?
Zloader的指挥控制体系改进了DNS查询方式,采用Base32编码和WebSocket支持,规避网络检测。
Zloader目前主要针对哪些目标?
Zloader目前仅针对高价值目标,采用精准攻击策略,导致样本捕获率较低。
➡️
