2017 년 11 월 28 일에 위협 지침 팀은 내부 작동을 이해 하기 위해 Terdot. A/z 로더로 알려진 악의적 다운로더를 분석 하는 요청을 받았습니다. 이 보고서에는 심층 분석 기술 분석과 Ioc (침해 지표)를 포함 한 기타 세부 정보가 포함 됩니다. 우리가 인터넷에 연결 되어있는 경우, Zloader는 두 번째 단계 (메인 봇)를 로드 하 고 msiexec에 주입 합니다. 페이로드는이 문서에 설명 된 악성 프로그램과 매우 비슷하며 스핑크스 이름 아래에서 참조 됩니다. 그러나, 다른 연구자와 상담 후 (매튜 메사에 특별 감사), 우리는 스핑크스로 판매 되는 봇은 매우 다르다 입증 있어 (샘플). 명명에 대 한 많은 혼란 있기 때문에, 우리는 이름 Terdot Zloader/Zloader에 충실 하기로 결정 했다. 대부분의 분석 된 샘플은 SundownEK에서 삭제 되었습니다 – 일부 캠페인은 여기에 자세히 설명 되어 있습니다: 12 월 28 일 2016, 2017 및 2017. 그러나 악성 전자 메일 첨부 파일에 의해 Terdot. A/z 로더가 삭제 된 경우도 발생 했습니다.

트로이 목마는 손상 된 시스템에 잠재적으로 악성 파일을 다운로드 트로이 목마입니다. CnC는 새로운 PE 파일로 응답 합니다 – 악성 코드의 모듈: (client32). 다운로더는 메모리에서 암호를 해독 하 고 추가로 주입 합니다: 잠시 후에 탐색기 종료 및 배포 중인 다른 프로그램을 볼 수 있습니다. msiexec. 초기 악성 프로그램 실행 파일이 삭제 됩니다. 이 요소 – 초기 샘플에서 압축을 풀고 explorer.exe에 주입-는 다운로더로 식별 Terdot. A/z 로더. 그것은 CnC와 연결 하 고 주요 악성 모듈을 다운로드 하는 책임, 그건 Zbot. 게임을 다운로드 하거나 블리자드에서 https://cloud.mail.ru/public/Cadj/K1yGeRvYw/StarCraft_1.20.9.3164.zip.

그것은 순간에 게임의 최신 버전을 가진 아카이브입니다. 런처 https://zloemu.net/files/ZLoaderx32.exe를 게임 폴더에 넣습니다. ZClient를 실행 한 다음 ZLoaderx32, 그것은 자동으로 게임을 시작 한다. 우리가 알 수 있듯이, 파일은 악성 코드의 암호화 된 코드를 포함. 제시 된 PHP 스크립트를 사용 하 여 Zloader 실행 파일로 다시 해독 됩니다. 최신 버전은 Zloader 여부와 함께 작동 합니까? 디버거를 탐색기 프로세스에 연결 하면 새 PE 파일 (페이로드 .dll)과 함께 삽입 된 셸 코드를 볼 수 있습니다. 이 Zloader에 대 한 일반적인 재미 있고 특이 한 것은 DLL이 메모리 페이지의 시작 부분에서 시작 되지 않지만 셸 코드 후에: 안녕하세요, 다운로드의 링크 ` https://cloud.mail.ru/public/Cadj/K1yGeRvYw/StarCraft_1.20.9.3164.zip ` 다운/ 오프 라인, 누구 든 지이 파일을 다시 업로드할 수 있습니까? 터 닷. A/z 로더, 파일 이름 페이로드. dll 2aadd8786a069427ff0d086daaec73e562b8f6931559630fe5bf239cc13a72b0 70a3c2d1ce0b4c1392ae9ad9e85af5289dc1cfc8dac2c0b91f2a4820ac36e762 19658d5653189d35bdaa49dc0541eec90a5f1b5156f1895f07484aa 759a422c2 a2aa23d21102e0986ad32e7d8364d336a2745b7fec105fc741650a73b6e0481c bd44645d62f634c5ca65b110b2516bdd22462f8b2f3957dbcd821fa5bdeb38a2 다운로더: Terdot가 프록시를 구성 합니다. 연결 및 다운로드 페이로드 (Zbot) 명령 및 제어 (C2)에서 발견 될 수 있는 인터넷을 통해 10039FD 및 10039FD,도 4 및도 5에 도시 된 바와 같이: 다운로드의 링크 다운/오프 라인, 누구 든 지이 파일을 다시 업로드 할 수 있습니까? A/ Zloader는 잘 알려진 제우스 은행 트로이 목마에 연결 된 기원과 악의적 인 다운로더 이지만, 최신 반복은 간첩 지향 데이터 가로채기 기능의 호스트를 포함 한다.

그것은 Zbot을 다운로드 하기로 결정 되었습니다, 악성 뱅킹 트로이 목마/봇, 윈도우 프로세스에 Zbot을 주입, msiexec, 파이어 폭스와 같은 웹 브라우저. Zbot은 온라인 뱅킹 사이트와 같이 개인 및 비즈니스에서 사용 하는 웹 페이지의 복제본 인 가짜 웹 페이지 (그림 10: msiexec에 디버거 연결)를 삽입 하 고이를 이식 하 고 실행 하는 Zbot (client32)를 찾을 수 있습니다. 프로세스 공간.