ZLOADER 恶意软件添加了ZEUS的反分析功能

Zloader 继续发展，其作者添加了最初存在于 Zeus 银行木马中的反分析功能：

　　Zloader(又名 Terdot、DELoader 或 Silent Night)是一种基于泄露的 ZeuS 源代码的模块化木马。在中断了近两年后，Zloader 以新的混淆技术、域生成算法 (DGA) 和网络通信重新出现。

　　最近，它的作者重新引入了一个类似于原始 ZeuS 2.x 代码中实现的反分析功能。此功能可防止恶意软件在受感染的机器之外执行，许多借用 Zeus 泄露源代码的恶意软件变体已经放弃了这一功能。

　　“Zloader 在中断近两年后于 2023 年 9 月左右复活以来一直在不断发展，”Zscaler 发布的分析中写道。“最新版本 2.4.1.0 引入了一项功能，可防止在与原始感染不同的机器上执行。泄露的 ZeuS 2.X 源代码中也存在类似的反分析功能，但实现方式不同。

　　如果版本高于 2.4.1.0 的 Zloader 样本在初始感染后被复制并执行到另一个系统上，则会突然终止。恶意软件通过检查 Windows 注册表中的特定键/值来实现此功能。

　　每个示例都基于唯一的硬编码种子生成注册表项和值。

　　“如果注册表项/值对是手动创建的(或者此检查已修补)，Zloader 将成功将自身注入到新进程中。但是，在仅执行几条指令后，它将再次终止。“这是由于对 Zloader 的 MZ 标头进行了二次检查。”

　　Zscaler 观察到 Zloader 存储安装数据以逃避检测的方法与 Zeus 版本 2.0.8 有相似之处，尽管实现方式不同。Zloader 没有使用 Registry，而是使用一个名为 PeSettings 的数据结构来存储其配置。

　　Zloader 中实现的反分析技术使恶意代码更难检测和分析。

　　“在最近的版本中，Zloader采用了一种隐蔽的方法来处理系统感染。这种新的反分析技术使 Zloader 的检测和分析更具挑战性。ThreatLabz 分析的样本都经过了预先初始化，这表明了一种更有针对性的分发策略。

安全分析及建议：

　　ZLoader是一种广泛传播的恶意软件，通常用于窃取敏感信息，例如银行账号和密码。最近的变种添加了ZEUS的反分析功能，增加了对安全分析工具的逃避能力，使其更难被检测和分析。以下是对这种恶意软件的分析和安全建议：

分析ZLoader的反分析功能：

　　了解ZLoader如何使用ZEUS的反分析功能来逃避安全检测和分析，包括检测虚拟化环境、沙箱环境或调试器等，并对其进行技术分析。

更新安全工具和防御措施：

　　及时更新安全工具和防御措施，确保其可以识别和阻止使用了ZEUS反分析功能的ZLoader变种。这包括更新反病毒软件、入侵检测系统(IDS)、入侵防御系统(IPS)等安全设备。

加强网络流量监控：

　　加强对网络流量的监控，尤其是针对可能包含ZLoader恶意软件的流量，及时发现和阻止恶意活动。

教育用户提高安全意识：

　　向员工和个人用户提供安全教育，加强他们对于恶意软件和网络威胁的认识，教导他们如何避免点击可疑链接、下载附件等行为。

实施应用程序白名单：

　　实施应用程序白名单策略，限制只允许可信任的应用程序运行，减少恶意软件的传播和影响范围。

加强终端安全管理：

　　加强终端安全管理，包括限制用户权限、定期更新操作系统和应用程序补丁、禁用不必要的服务等。

持续监控和响应：

　　持续监控网络和终端设备的安全状况，及时发现并应对ZLoader等恶意软件的攻击活动，尽量减少其对系统造成的损害。

信息共享与合作：

　　加强安全行业间的信息共享与合作，及时分享关于ZLoader等恶意软件的情报信息，共同提升对抗能力。

　　总的来说，要有效防御ZLoader等恶意软件，需要综合运用技术手段、安全策略和用户教育等多种手段，建立起一个完整的安全防御体系。