近日，金山安全反病毒實(shí)驗(yàn)室從多個(gè)用戶(hù)部署的一體化平臺(tái)上發(fā)現(xiàn)了幾起相似惡意樣本案例，經(jīng)鑒定確認(rèn)為Zbot家族新型變種，代號(hào)TrojanSpy:Zbot.HID，

Zbot木馬型間諜軟件新變種

    在實(shí)際案例中發(fā)現(xiàn)該木馬主要依靠郵件傳播，員工會(huì)不經(jīng)意的點(diǎn)開(kāi)了題為“回復(fù)”的郵件，雖然之后發(fā)現(xiàn)是垃圾郵件但并未發(fā)現(xiàn)有其他異常，在很多時(shí)間之內(nèi)，該企業(yè)其他員工均收到了類(lèi)似郵件，此時(shí)木馬已成功竊取了企業(yè)隱私數(shù)據(jù)并加以利用。

    Zbot是一款木馬型間諜惡意軟件，自2010年發(fā)現(xiàn)至今，經(jīng)歷多次演變，檢測(cè)難度越來(lái)越大， 攻擊對(duì)象也趨于定向化。而此次金山安全發(fā)現(xiàn)的Zbot.HID新變種具有多態(tài)化變形的免殺技術(shù)，幾乎規(guī)避了所有殺軟檢測(cè)，并更新了欺騙手段和隱藏技術(shù)。

    以下是現(xiàn)場(chǎng)調(diào)取的部分郵件截圖，如果不仔細(xì)觀(guān)察很難辨識(shí)真假。

    我們假設(shè)X為郵件附件，不慎被打開(kāi)執(zhí)行之后木馬會(huì)有以下幾種形式展示。

    1. 創(chuàng)建出另一個(gè)多態(tài)的自己Y(由于使用了多態(tài)變形技術(shù)， Y和X二進(jìn)制也變得不一樣)， 之后遠(yuǎn)程注入所有進(jìn)程。

    2. 注入后的線(xiàn)程Z(一個(gè)C語(yǔ)言編寫(xiě)的PE文件)會(huì)再次生成其他功能線(xiàn)程， 更重要的是該木馬會(huì)inline hook 一些包括消息， 網(wǎng)絡(luò)， 剪貼板， 證書(shū)的系統(tǒng)API， 從而實(shí)現(xiàn)隱私竊取功能。

    病毒INLINE HOOK的跳轉(zhuǎn)表

    以HttpSendRequest舉例，在病毒HOOK代碼中，會(huì)將API有用的參數(shù)數(shù)據(jù)保存到磁盤(pán)文件中。

    3. 木馬會(huì)有條件的記錄如網(wǎng)銀、 MSN、 數(shù)字證書(shū)、剪貼板等內(nèi)容，并將其保存到一個(gè)文件數(shù)據(jù)庫(kù)中，同時(shí)會(huì)嘗試鏈接C&C服務(wù)器獲取進(jìn)一步指令和傳送隱私數(shù)據(jù)。

    4. 木馬的自啟動(dòng)方式較為隱蔽。木馬會(huì)利用關(guān)機(jī)事件在關(guān)機(jī)時(shí)寫(xiě)入注冊(cè)表啟動(dòng)項(xiàng)，當(dāng)開(kāi)機(jī)啟動(dòng)后又從注冊(cè)表中刪除掉自己，所以當(dāng)木馬運(yùn)行后通過(guò)檢測(cè)工具對(duì)常用的啟動(dòng)項(xiàng)位置進(jìn)行排查是無(wú)法發(fā)現(xiàn)該木馬的。

    利用內(nèi)核調(diào)試工具我們可以看到木馬在關(guān)機(jī)開(kāi)機(jī)時(shí)的隱藏行為，能輕松躲過(guò)各種啟動(dòng)項(xiàng)檢測(cè)工具。

    ZBot.HID變種淺析

    1. 郵件是ZBot的主要傳播途徑

    介于企業(yè)內(nèi)網(wǎng)性質(zhì)，大多數(shù)入侵途徑依然集中在郵件和移動(dòng)設(shè)備，使用了真實(shí)的注冊(cè)郵箱，標(biāo)題常用“回復(fù)”“ 轉(zhuǎn)發(fā)”等冒充長(zhǎng)期往來(lái)信件，從內(nèi)容方面署名與發(fā)件人前后照應(yīng)， 主體內(nèi)容用詞恰當(dāng)，段落落款規(guī)整，具有很強(qiáng)的欺騙性，

電腦資料

    2. ZBot.HID變種加強(qiáng)了免殺和專(zhuān)殺免疫效果

    老版ZBot主要采用C#.NET編寫(xiě)，而此次Zbot.HID基本采用了VB5/6編寫(xiě)，并加入了多態(tài)變形技術(shù)，每封郵件附件都有變化，其母體和釋放體二進(jìn)制也并不完全相同，嘗試使用多款主流的VB反編譯工具對(duì)其進(jìn)行反編譯都未能成功， 而且VB6本身的編碼方式相較于.NET相對(duì)更難被反編譯，這也就直接導(dǎo)致了目前殺軟通過(guò)特征碼技術(shù)或云查殺技術(shù)都很難及時(shí)有效的做出攔截。在染毒環(huán)境中使用了多家ZBot專(zhuān)殺工具后也無(wú)一能有效處理，說(shuō)明此次變種也對(duì)專(zhuān)殺工具做了進(jìn)一步免疫處理。

    3. ZBot.HID變種具有隱私竊取技術(shù)手段

    Inline Hook依然是其主要的隱私竊取途徑，但此次Zbot.HID變種再次更新了其隱藏方法， 技術(shù)細(xì)節(jié)可參閱文章上半部分圖文。

    4. 利益聯(lián)盟聯(lián)合獲利

    目前ZBot木馬除了通過(guò)C&C發(fā)送竊取的情報(bào)外，還集成了木馬下載器功能，通過(guò)監(jiān)測(cè)數(shù)據(jù)表明通過(guò)郵件傳播盜的Fareit(可參閱金山與綠盟聯(lián)合檢測(cè)體系關(guān)于Fareit的相關(guān)報(bào)告http://www.2cto.com/Article/201511/450130.html)， Gamarue(一種通過(guò)U盤(pán)傳播的木馬病毒)，Cutwail(攜帶Rootkit內(nèi)核攻擊工具)等都直接或間接成為了ZBot的聯(lián)盟。病毒及木馬一旦形成利益聯(lián)盟，那么他們的攻擊手段將會(huì)更加多樣化和立體化，并通過(guò)隱私數(shù)據(jù)分享合作，進(jìn)一步擴(kuò)大了他們的攻擊范圍和深度。

    綜合看出ZBot.HID變種具備了以下幾個(gè)特點(diǎn)：

1. 運(yùn)用社會(huì)工程學(xué)提高了郵件內(nèi)容質(zhì)量，更具有欺騙性，可輕易繞過(guò)垃圾郵件攔截。2. 升級(jí)的免殺技術(shù)和免疫能力進(jìn)一步提高了其生存時(shí)間和空間，利用關(guān)開(kāi)機(jī)時(shí)機(jī)進(jìn)行自啟動(dòng)隱藏也是本次新變種的一個(gè)新特征。3. 黑產(chǎn)聯(lián)盟壯大，在現(xiàn)場(chǎng)取證過(guò)程中，以ZBot為引線(xiàn)，挖掘出了一系列黑產(chǎn)成員，包括Fareit，Cutwail，Dofoil，Gamarue，Vobfuz，Kuluoz等一系列惡意樣本，攻擊角度非常全面立體。

    解決方案

    在整個(gè)攻擊從郵件附件X -> 生成自啟動(dòng)Y -> 注入體Z的過(guò)程中，多數(shù)廠(chǎng)商對(duì)Z的檢出會(huì)高很多，可能是因?yàn)樽⑷氲腪是由c語(yǔ)言編寫(xiě)， 而且各家基于啟發(fā)式的手段對(duì)API序列檢測(cè)也多少能夠識(shí)別，但對(duì)X的檢出基本上是無(wú)法檢出或很久之后才能識(shí)別。 所以問(wèn)題在于一旦到了Z環(huán)節(jié)， 攻擊就已經(jīng)成功了， 難以達(dá)到防患于未然。

    在此次事件調(diào)查過(guò)程中， 金山安全一體化平臺(tái)起到了至關(guān)重要的作用， 當(dāng)文件進(jìn)入企業(yè)內(nèi)網(wǎng)時(shí)會(huì)先進(jìn)入鑒定平臺(tái)進(jìn)行動(dòng)態(tài)行為鑒定， 一旦發(fā)現(xiàn)威脅即可立即鎖定，在X環(huán)即可有效攔截。