最近的網路安全研究發現,一個被命名為ZLoader的惡意軟體正在活躍傳播,該惡意軟體利用遠端監控工具和一個存在 9 年之久的微軟數字簽名驗證漏洞來竊取使用者憑據和敏感資訊。
根據網路安全行業門戶「極牛網」GEEKNB.COM的梳理,該惡意軟體的感染鏈中包含的技術包括使用合法的遠端管理軟體 (RMM) 來獲得對目標機器的初始訪問許可權,然後惡意軟體利用微軟的數字簽名驗證方法將其有效載荷注入到簽名的系統 DLL 中,以進一步規避系統的防禦。
ZLoader惡意軟體的核心是銀行木馬,從受感染的系統中竊取受害者的cookie、密碼和其他個人敏感資訊。據稱,截至 2022 年 1 月 2 日,ZLoader惡意軟體已在 111 個國家和地區傳播。
攻擊流程從誘騙使用者安裝名為 Atera 的合法企業遠端監控軟體開始,使用它上傳和下載任意檔案以及執行惡意指令碼。但是,分發安裝程式檔案的確切模式目前仍然未知。
其中一個檔案用於向 Windows Defender 新增排除項,而第二個檔案繼續檢索和執行下一階段的有效攻擊載荷,包括一個名為 appContast.dll 的 DLL 檔案,該檔案又用於執行 ZLoader 二進位制檔案 9092.dll 。
值得注意的是,appContast.dll 不僅由微軟使用有效證書進行簽名,而且該檔案最初是一個應用程式解析器模組 AppResolver.dll,已被調整並注入惡意指令碼以載入最後階段的惡意軟體。
這可以透過利用漏洞號為 CVE-2013-3900 的已知漏洞(一個 WinVerifyTrust 簽名驗證漏洞)實現,該漏洞允許遠端攻擊者透過對檔案進行足夠細微的更改而不撤銷檔案的有效性,透過特製的可移植可執行檔案執行任意程式碼電子簽名。
根據網路安全行業門戶「極牛網」GEEKNB.COM的梳理,儘管微軟在 2013 年修復了這個漏洞,但卻在 2014 年 7 月表示不再將更嚴格的驗證行為作為 Windows 支援版本的預設功能,將其作為可選功能提供。換句話說,預設情況下禁用了此修復程式,這使惡意軟體依然能夠修改簽名檔案。
