1. Giới thiệu
Zloader,
một banking trojan còn biết đến với những tên gọi khác như Terdot hay Zbot. Dòng trojan
này được phát hiện lần đầu tiên vào năm 2016, và theo thời gian số lượng phát
tán của nó liên tục gia tăng. Code của Zloader được cho là xây dựng dựa trên mã
nguồn bị rò rỉ của mã độc ZeuS nổi
tiếng. Vào năm 2011, khi mã nguồn của ZeuS được công khai thì từ đó tới nay nó
được sử dụng trong nhiều mẫu mã độc khác nhau.
Zloader
có đầy đủ chức năng tiêu chuẩn của một trojan như có thể lấy thông tin từ các
trình duyệt, thu thập cookie và mật khẩu, chụp ảnh màn hình… đồng thời để gây
khó khăn cho các nhà phân tích, nó áp dụng các kĩ thuật cao cấp, bao gồm code
obfuscation và mã hóa chuỗi, che dấu các hàm APIs. Gần đây, các chuyên gia của
CheckPoint đã công bố phân tích về một chiến dịch phát tán Zloader theo đó quá trình lây nhiễm
đã khai thác quy trình kiểm tra chữ kí số của Microsoft. Bên cạnh đó, Zloader
còn được dùng để phát tán các loại mã độc khác bao gồm cả ransomware như Ryuk và Egregor. Điều này cho thấy, những kẻ đứng sau mã độc này vẫn đang tìm
các phương thức khác nhau để nâng cấp nhằm vượt qua các biện pháp phòng vệ. Dưới
đây là bảng xếp hạng của Zloader theo đánh giá từ trang AnyRun:
Mới
đây nhất, nhiều đơn vị cung cấp dịch vụ viễn thông và công ty an ninh mạng trên
toàn thế giới, bao gồm ESET, Black Lotus Labs, Đơn vị 42 của Palo Alto Networks
và Avast đã hợp tác với các chuyên gia nghiên cứu bảo mật của Microsoft trong
suốt nỗ lực điều tra, đã thực hiện các bước pháp lý và kỹ thuật để phá vỡ mạng botnet ZLoader, chiếm quyền kiểm soát 65 tên miền được sử dụng để
kiểm soát và giao tiếp với các máy chủ bị lây nhiễm.
Bài
viết này sẽ cung cấp chi tiết quá trình phân tích và kĩ thuật mà Zloader sử dụng,
bao gồm:
- Cách
thức unpack để dump Zloader Core Dll.
- Cách
thức mà Zloader gây khó khăn cũng như làm mất thời gian trong quá trình phân
tích.
- Giải
mã các chuỗi được sử dụng bởi Zloader bằng cả hai phương pháp IDAPython và
AppCall.
- Áp
dụng AppCall để khôi phục lại các hàm APIs mà Zloader sử dụng.
- Kĩ
thuật Process Injection mà Zloader áp dụng để inject vào tiến trình msiexec.exe.
- Giải
mã thông tin cấu hình liên quan tới các địa chỉ C2s.
- Cách
thức Zloader thu thập và lưu thông tin tại Registry.
- Kĩ
thuật tạo Persistence.
Sample
được sử dụng trong bài viết: 034f61d86de99210eb32a2dca27a3ad883f54750c46cdec4fcc53050b2f716eb