源于臭名昭著的 Zeus 恶意软件的模块化木马 Zloader 再次进化，给网络安全专业人员带来了新的复杂挑战。Zscaler公司的安全研究团队ThreatLabz发现了Zloader的新迭代版本（2.9.4.0版），该版本引入了用于命令与控制（C2）通信的自定义DNS隧道协议。

Zloader （又称 Terdot、DELoader 或 Silent Night）于 2015 年首次出现，最初设计用于通过自动清算所（ACH）和电汇促进银行欺诈。多年来，与同类产品 Qakbot 和 Trickbot 一样，它被重新用作初始访问代理，为勒索软件在企业环境中的部署铺平了道路。经过两年的沉寂，Zloader 于去年重新出现在网络威胁领域，其混淆、反分析技术和网络通信策略都得到了增强。

ThreatLabz 的最新调查结果显示，Zloader 的最新版本将这些功能提升到了一个新的水平。报告指出：“Zloader 2.9.4.0增加了显著的改进，包括用于C2通信的自定义DNS隧道协议和支持十几种命令的交互式shell，这对勒索软件攻击可能很有价值。”

Zloader 攻击链示例 | 来源：ThreatLabz ThreatLabz

Zloader 最新版本中最引人注目的更新之一是使用了自定义 DNS 隧道协议。这种机制允许恶意软件在 DNS 请求中封装加密的 TLS 流量，从而有效绕过传统的网络流量监控工具。与许多其他恶意软件系列不同，Zloader 不依赖第三方库或 Windows API，而是独立构建和解析 DNS 数据包。

每个 DNS 请求都遵循特定格式：

[前缀].[标头].[有效载荷].[zloader_nameserver_domain].

有效载荷（可能包括 TLS 客户端问候信息）被分割成多个数据包，以符合 DNS 协议的限制。DNS 隧道的使用，再加上 Zloader 的反分析功能，使得检测其 C2 流量变得异常困难。ThreatLabz 指出：“Zloader 的 C2 通信最重要的更新是增加了 DNS 隧道功能……较大的信息必须被分割成多个数据包发送。”

Zloader 2.9.4.0 还对其反分析技术进行了重大改进。通过改进环境检查和 API 导入解析算法，该恶意软件可以躲避沙盒和静态检测机制。ThreatLabz 强调指出：“Zloader 的反分析技术（如环境检查和 API 导入解析算法）不断更新，以规避恶意软件沙盒和静态签名。”

此外，该恶意软件现在包含一个交互式外壳，可为威胁行为者提供一系列功能，包括执行二进制文件、渗出数据和运行 shellcode。这些增强功能强化了 Zloader 作为勒索软件操作员的强大工具的作用。

ThreatLabz 的研究表明，Zloader 的传播方式发生了转变。大规模垃圾邮件活动已被更有针对性的方法所取代，例如利用 AnyDesk 和 TeamViewer 等远程监控和管理 (RMM) 工具。此外，Zloader僵尸网络越来越多地与Black Basta勒索软件活动联系在一起，进一步巩固了其作为勒索软件攻击主要推动者的地位。

Zloader 凭借其先进的 DNS 隧道功能卷土重来，给防御者带来了巨大挑战。传统的网络流量监控已不再足够，企业还必须仔细检查基于 DNS 的通信，以发现异常。ThreatLabz 建议：“有了最新的 Zloader 更新，企业必须确保不仅要检查基于网络的流量，还要检查基于 DNS 的网络流量。”