揭露“深度伪装”的ZeuS网银木马

Posted 2020-08-15

近日，最近收到一封钓鱼邮件，邮件中附带着一个.doc的附件。我们利用再平常不过的工具Notepad++，一步一步脱去ZeuS木马的伪装外衣，并进行了非常深入的静态分析。该木马的伪装用到了多项关键技术，例如信息隐藏、加密解密等。

该木马会根据自身文件名的不同而进行多种不同的恶意行为，经测试，目前国内的多款杀毒软件尚不能查杀病毒，多个木马的变种MD5被多款安全软件加入到白名单中，导致主动防御也失效。

在虚拟机中运行该样本时，攻击者发送的附件看起来并不正确。但是，在我提取并解码此shellcode之后，我发现了一个很熟悉的已经传播一段时间的恶意软件。

在邮件头部，可以看到原始IP地址为212.154.192.150。应答字段也很有趣，因为这是一个长期的419诈骗团伙的地址。邮件地址告诉我们附件极有可能是恶意软件。

但是，测试环境系统有超过45G的可利用硬盘空间，并且有2G的内存空间，所以错误中提示的空间不足应该不是问题的根源。为了测试，我将内存空间扩展成8G，但是相同的问题依然存在。于是，我决定从静态分析的角度看一下该附件。

像往常一样，我用Notepad++打开该文件来大致分析下这到底是什么。打开之后，我看到它实际上是一个伪装成.doc文件的.rtf文件，而在.rtf格式的文件中进行内容的混淆处理非常容易。

在.rtf文件中，表示十六进制代码的大量数据将可能为我们提供线索，让我们明白该文件到底在试图做什么。.rtf文件格式给攻击者提供了很大的自由，让其在这部分中隐藏并编码数据，

然而，在这部分的末尾，我们看到了“FF D9”，而gif文件的末尾两个字节就是“FF D9”。

恶意软件安装到了以下路径：C:\Users\<username>\AppData\Roaming\Ritese\quapq.exe。从取证的角度来看，在该目录或Roaming目录中搜索exe文件将是无意义的，因为一般恶意软件不会安装在这些目录下。

对于恶意软件的服务器端来说，该恶意软件发起了很多对“file.php”和“gate.php”文件的请求。此外，通过Dump内存，我们还能看到其他的Ladycoll配置。