Zloader木马再次升级：通过DNS隧道和WebSocket C2实现更隐蔽的攻击

Zloader典型攻击链 | 图片来源：Zscaler ThreatLabz

沉寂近两年后，Zloader（又名Terdot、DELoader或Silent Night）携新版本卷土重来，其反分析、混淆及命令控制（C2）能力均显著增强。Zscaler ThreatLabz研究人员警告称，该恶意软件已从单纯的银行木马演变为勒索软件运营商的模块化平台。

从银行木马到勒索软件跳板

研究报告指出："Zloader最初设计用于银行欺诈，现已被改造为初始访问工具，成为攻击者渗透企业网络部署勒索软件的入口点。"该恶意软件基于2015年泄露的Zeus源代码开发，并持续迭代进化。

隐蔽性升级与技术革新

ThreatLabz发现："Zloader 2.13.7.0版本改进了自定义DNS隧道协议用于C2通信，并新增WebSocket支持。"这些更新并非表面改动，而是旨在规避现代检测手段，同时维持在高价值网络中的持久性。

新版Zloader展现出高级沙箱规避能力：

• 早期版本仅支持硬编码文件名执行，现改用"Updater.exe"和"Updater.dll"两个通用文件名提升攻击灵活性
• 采用多层混淆技术，包括基于XOR的整数解码
• 检测Windows进程完整性级别，遇到高权限（管理员级）执行时自动退出——此举可规避多数以管理员权限运行的沙箱环境

网络探测与横向移动增强

最新版本新增LDAP功能套件，使攻击者能够：

• 绑定目录服务器
• 查询用户及属性
• 深入渗透企业环境 其交互式shell