ZLoader, tunelamento DNS para camuflar comunicação C2

ZLoader retorna com tunelamento DNS para camuflar comunicação C2

O malware ZLoader, também conhecido como Terdot, DELoader ou Silent Night, está de volta em uma versão aprimorada que utiliza o tunelamento de DNS para comunicação de comando e controle (C2). Essa técnica sofisticada demonstra a evolução constante do malware, focada em dificultar a detecção e mitigar esforços de segurança.

Com novas funcionalidades, como um shell interativo e maior resiliência contra análises, o ZLoader está cada vez mais associado a ataques de ransomware, como os realizados pelo grupo Black Basta.

 

O que é ZLoader?

ZLoader é um carregador de malware projetado para implantar cargas maliciosas subsequentes, muitas vezes usado como uma etapa inicial em ataques cibernéticos. Derivado do trojan bancário Zeus, o ZLoader herda sua habilidade de:

  1. Evasão de detecção: Utilizando técnicas como algoritmos de resolução de API e verificações ambientais.
  2. Geração de Domínios (DGA): Criando automaticamente nomes de domínio para dificultar o rastreamento das infraestruturas de comando e controle.
  3. Distribuição Adaptada: Evitando execução em máquinas que diferem do alvo original.

 

Novidades na versão 2.9.4.0 do ZLoader

1. Tunelamento DNS para comunicação C2

A principal inovação é o uso de um protocolo personalizado de tunelamento DNS para comunicação com servidores C2.

  • Funcionamento:
    Em vez de usar canais tradicionais, como HTTP ou HTTPS, o malware encapsula os dados de comunicação em pacotes DNS, que geralmente não são monitorados de perto por ferramentas de segurança. 
    • Exemplo prático: Um pacote DNS aparentemente inofensivo pode conter comandos maliciosos ou dados exfiltrados, dificultando sua identificação por sistemas de detecção tradicionais.

2. Shell interativo

O malware agora inclui um shell interativo que permite aos operadores executar comandos complexos diretamente na máquina infectada.

  • Funcionalidades:
    • Executar binários, DLLs e shellcode.
    • Exfiltrar dados.
    • Finalizar processos.
  • Impacto: Essa funcionalidade é extremamente útil em ataques de ransomware, onde o controle direto do sistema comprometido é essencial.

3. Técnicas avançadas de evasão

O ZLoader continua a aprimorar suas técnicas de evasão para evitar:

  • Análises estáticas: Adotando algoritmos dinâmicos para resolução de APIs.
  • Sandboxes de malware: Realizando verificações ambientais para identificar se está sendo executado em um ambiente de análise.

 

DNS Tunneling

 

Cadeia de ataque e métodos de distribuição

Método de infiltração

  1. Distribuição inicial:
    • O malware é frequentemente implantado por meio de conexões de desktop remoto (RDP) disfarçadas como suporte técnico legítimo.
  2. Uso do GhostSocks:
    • Um componente intermediário chamado GhostSocks é implantado inicialmente para preparar o ambiente e, em seguida, baixar o ZLoader.

Associação com Black Basta

Nos últimos meses, o ZLoader tem sido usado como uma ferramenta inicial em ataques de ransomware do grupo Black Basta, demonstrando sua importância como um “corretor de acesso inicial”.

 

Exemplo de exploração

1.Tunelamento DNS:
Um pacote DNS enviado do dispositivo comprometido pode conter dados como:

            query: base64(ZLoaderCommand)
            response: base64(ServerResponse)

 

2. Shell Interativo:
Comandos como os abaixo podem ser executados no dispositivo infectado:

           exec_shellcode -run payload.bin
           exfiltrate_data -path /sensitive/data
           terminate_process -id 1234

 

Como mitigar o risco?

Recomendações para empresas e usuários

1. Monitoramento de tráfego DNS:

    • Implementar soluções que analisem e detectem anomalias em pacotes DNS.

2. Bloqueio de conexões RDP não autorizadas:

    • Restringir o acesso remoto a sistemas corporativos e utilizar autenticação multifator.

3. Atualizações e patches:

    • Manter sistemas e softwares sempre atualizados para corrigir vulnerabilidades exploradas pelo ZLoader.

4. Educação de funcionários:

    • Alertar usuários sobre os perigos de interações com supostos técnicos de suporte.

 

Conclusão

A nova versão do ZLoader demonstra como os cibercriminosos estão inovando para burlar as defesas tradicionais. Com o uso de tunelamento DNS e um shell interativo avançado, o malware se torna uma ferramenta poderosa para ataques sofisticados.

Organizações devem adotar uma abordagem proativa para monitorar, identificar e mitigar ameaças, além de investir em soluções de segurança que acompanhem a evolução constante das técnicas de ataque.

 

Fonte e imagens: https://thehackernews.com/2024/12/zloader-malware-returns-with-dns.html