近日，金山安全反病毒實驗室從多個用戶部署的一體化平臺上發(fā)現(xiàn)了幾起相似惡意樣本案例，經(jīng)鑒定確認為Zbot家族新型變種，代號TrojanSpy:Zbot.HID，

Zbot木馬型間諜軟件新變種

    在實際案例中發(fā)現(xiàn)該木馬主要依靠郵件傳播，員工會不經(jīng)意的點開了題為“回復”的郵件，雖然之后發(fā)現(xiàn)是垃圾郵件但并未發(fā)現(xiàn)有其他異常，在很多時間之內(nèi)，該企業(yè)其他員工均收到了類似郵件，此時木馬已成功竊取了企業(yè)隱私數(shù)據(jù)并加以利用。

    Zbot是一款木馬型間諜惡意軟件，自2010年發(fā)現(xiàn)至今，經(jīng)歷多次演變，檢測難度越來越大， 攻擊對象也趨于定向化。而此次金山安全發(fā)現(xiàn)的Zbot.HID新變種具有多態(tài)化變形的免殺技術，幾乎規(guī)避了所有殺軟檢測，并更新了欺騙手段和隱藏技術。

    以下是現(xiàn)場調(diào)取的部分郵件截圖，如果不仔細觀察很難辨識真假。

    我們假設X為郵件附件，不慎被打開執(zhí)行之后木馬會有以下幾種形式展示。

    1. 創(chuàng)建出另一個多態(tài)的自己Y(由于使用了多態(tài)變形技術， Y和X二進制也變得不一樣)， 之后遠程注入所有進程。

    2. 注入后的線程Z(一個C語言編寫的PE文件)會再次生成其他功能線程， 更重要的是該木馬會inline hook 一些包括消息， 網(wǎng)絡， 剪貼板， 證書的系統(tǒng)API， 從而實現(xiàn)隱私竊取功能。

    病毒INLINE HOOK的跳轉(zhuǎn)表

    以HttpSendRequest舉例，在病毒HOOK代碼中，會將API有用的參數(shù)數(shù)據(jù)保存到磁盤文件中。

    3. 木馬會有條件的記錄如網(wǎng)銀、 MSN、 數(shù)字證書、剪貼板等內(nèi)容，并將其保存到一個文件數(shù)據(jù)庫中，同時會嘗試鏈接C&C服務器獲取進一步指令和傳送隱私數(shù)據(jù)。

    4. 木馬的自啟動方式較為隱蔽。木馬會利用關機事件在關機時寫入注冊表啟動項，當開機啟動后又從注冊表中刪除掉自己，所以當木馬運行后通過檢測工具對常用的啟動項位置進行排查是無法發(fā)現(xiàn)該木馬的。

    利用內(nèi)核調(diào)試工具我們可以看到木馬在關機開機時的隱藏行為，能輕松躲過各種啟動項檢測工具。

    ZBot.HID變種淺析

    1. 郵件是ZBot的主要傳播途徑

    介于企業(yè)內(nèi)網(wǎng)性質(zhì)，大多數(shù)入侵途徑依然集中在郵件和移動設備，使用了真實的注冊郵箱，標題常用“回復”“ 轉(zhuǎn)發(fā)”等冒充長期往來信件，從內(nèi)容方面署名與發(fā)件人前后照應， 主體內(nèi)容用詞恰當，段落落款規(guī)整，具有很強的欺騙性，

電腦資料

    2. ZBot.HID變種加強了免殺和專殺免疫效果

    老版ZBot主要采用C#.NET編寫，而此次Zbot.HID基本采用了VB5/6編寫，并加入了多態(tài)變形技術，每封郵件附件都有變化，其母體和釋放體二進制也并不完全相同，嘗試使用多款主流的VB反編譯工具對其進行反編譯都未能成功， 而且VB6本身的編碼方式相較于.NET相對更難被反編譯，這也就直接導致了目前殺軟通過特征碼技術或云查殺技術都很難及時有效的做出攔截。在染毒環(huán)境中使用了多家ZBot專殺工具后也無一能有效處理，說明此次變種也對專殺工具做了進一步免疫處理。

    3. ZBot.HID變種具有隱私竊取技術手段

    Inline Hook依然是其主要的隱私竊取途徑，但此次Zbot.HID變種再次更新了其隱藏方法， 技術細節(jié)可參閱文章上半部分圖文。

    4. 利益聯(lián)盟聯(lián)合獲利

    目前ZBot木馬除了通過C&C發(fā)送竊取的情報外，還集成了木馬下載器功能，通過監(jiān)測數(shù)據(jù)表明通過郵件傳播盜的Fareit(可參閱金山與綠盟聯(lián)合檢測體系關于Fareit的相關報告http://www.2cto.com/Article/201511/450130.html)， Gamarue(一種通過U盤傳播的木馬病毒)，Cutwail(攜帶Rootkit內(nèi)核攻擊工具)等都直接或間接成為了ZBot的聯(lián)盟。病毒及木馬一旦形成利益聯(lián)盟，那么他們的攻擊手段將會更加多樣化和立體化，并通過隱私數(shù)據(jù)分享合作，進一步擴大了他們的攻擊范圍和深度。

    綜合看出ZBot.HID變種具備了以下幾個特點：

1. 運用社會工程學提高了郵件內(nèi)容質(zhì)量，更具有欺騙性，可輕易繞過垃圾郵件攔截。2. 升級的免殺技術和免疫能力進一步提高了其生存時間和空間，利用關開機時機進行自啟動隱藏也是本次新變種的一個新特征。3. 黑產(chǎn)聯(lián)盟壯大，在現(xiàn)場取證過程中，以ZBot為引線，挖掘出了一系列黑產(chǎn)成員，包括Fareit，Cutwail，Dofoil，Gamarue，Vobfuz，Kuluoz等一系列惡意樣本，攻擊角度非常全面立體。

    解決方案

    在整個攻擊從郵件附件X -> 生成自啟動Y -> 注入體Z的過程中，多數(shù)廠商對Z的檢出會高很多，可能是因為注入的Z是由c語言編寫， 而且各家基于啟發(fā)式的手段對API序列檢測也多少能夠識別，但對X的檢出基本上是無法檢出或很久之后才能識別。 所以問題在于一旦到了Z環(huán)節(jié)， 攻擊就已經(jīng)成功了， 難以達到防患于未然。

    在此次事件調(diào)查過程中， 金山安全一體化平臺起到了至關重要的作用， 當文件進入企業(yè)內(nèi)網(wǎng)時會先進入鑒定平臺進行動態(tài)行為鑒定， 一旦發(fā)現(xiàn)威脅即可立即鎖定，在X環(huán)即可有效攔截。