部分報導已經顯示ZeuS/ZBOT這隻惡名遠播的網路銀行惡意軟體現在開始將目標放在64位元的系統。根據趨勢科技的調查,已經證實了一些32位元的 ZBOT 樣本(偵測為TSPY_ZBOT.AAMV)確實有嵌入一個64位元版本(偵測為TSPY64_ZBOT.AANP)。然而,我們的調查也確認該惡意軟體其他一些值得注意的行為,包括它對安全軟體的閃躲技術。
下面是 TSPY_ZBOT.AAMV 擷取出程式碼的截圖,它會和64位元的 ZBOT 一起注入:
圖一、32位元的ZBOT截圖
檢查了這些程式碼,64位元版本可以被看作是惡意軟體文字區塊(可執行碼)的一部分。
圖二、被注入64位元ZBOT的截圖
就跟其他ZBOT變種一樣,TSPY_ZBOT.AAMV會將自己的程式碼注入到正常的程序explorer.exe裡。如果正在運行的程序是64位元的,惡意軟體會載入64位元版本的惡意軟體。如果不是,它會繼續執行32位元版本。
這 ZBOT 變種另一個值得注意的特點是它的 Tor 元件,可以用來隱藏惡意軟體和指揮與控制(C&C)伺服器間的通訊。該元件被嵌入在注入程式碼的底層,也有著32位元和64位元的版本。要啟動這個元件,惡意軟體先中斷svchost.exe程序,將Tor元件程式碼注入後再將程序恢復。經過這樣的動作,就可以隱藏Tor的執行。它用下列參數加以啟動:
“%System%\svchost.exe” –HiddenServiceDir “%APPDATA%\tor\hidden_service” –HiddenServicePort “1080 127.0.0.1:{random port 1}” –HiddenServicePort “5900 127.0.0.1: {random port 2}”
這些參數指定 Tor 客戶端要如何運作。在此案例中,Tor 客戶端會作為隱藏服務執行,並指定了private_key和主機名稱設定的位置。TSPY_ZBOT.AAMV接著會回報它的C&C伺服器上述設定,然後帶到遠端惡意使用者。Tor客戶端將端口1080和5900的網路通訊重導到隨機生成的端口,讓遠程使用者可以進行存取。
Tor元件將成為一個伺服器,讓惡意遠端使用者可以用來存取受感染的系統。這ZBOT變種包含遠端控制(VNC)功能,讓遠端使用者可以用來執行所需指令。早在2010年就有某些具備此功能的ZBOT變種被報導出來,可以有效地替這些惡意軟體建立遠端控制能力,就跟後門程式如何去控制受感染系統一樣。
64位元的ZBOT提升了對防惡意軟體的閃躲技巧
除了這些功能,我們發現此ZBOT加入了新的行為。一是會預防執行某些分析工具,像是OllyDbg、WinHex、StudPE和ProcDump等等。
另一個值得注意的是這ZBOT的使用者模式Rootkit能力,可以有效地隱藏惡意軟體的程序、檔案和註冊碼。
該變種還會隱藏其植入的檔案和自動啟動註冊碼。就如下圖所示,該惡意軟體所建立的資料夾可以利用命令列模式的dir指令看到,但使用檔案總管時會被隱藏。
圖三、使用命令列模式下的dir指令看到ZBOT的隱藏資料夾
圖4、ZBOT檔案在檔案總管裡被隱藏
至於TSPY_ZBOT.AAMV的自動啟動註冊碼、所產生的資料夾和檔案,使用者可以重新啟動進入安全模式後查看。因為惡意軟體只具備使用者模式的Rootkit能力,和核心模式Rootkit相比,只會隱藏惡意軟體相關的檔案和程序,使用者可以在安全模式將其刪除。
這個64位元版本的ZeuS/ZBOT是可預期的惡意軟體發展,特別是當ZeuS原始碼在2011年被洩漏之後。從那時起,我們已經看到惡意軟體的幾個世代發展,特別值得注意的是用KINS的形式,並且參與其他惡意軟體活動,像是Cryptolocker和UPATRE。加入其他功能,像是Rootkit能力和使用Tor元件,都更進一步地證明我們可能在未來看到更多修改版本,特別是那些有助於規避或延遲防惡意軟體的功能。
趨勢科技可以偵測系統中的ZBOT變種以保護使用者免於此威脅。也會封鎖該惡意軟體的已知C&C網站。
關於Tor的更多資訊可以參考報告 – 「深層網路和網路犯罪:並不只是TOR」。
@原文出處:64-bit ZBOT Leverages Tor, Improves Evasion Techniques
作者:Anthony Joe Melgarejo(威脅回應工程師)