{"id":21514,"date":"2025-01-06T22:21:41","date_gmt":"2025-01-07T01:21:41","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21514"},"modified":"2025-01-06T22:21:42","modified_gmt":"2025-01-07T01:21:42","slug":"zloader-tunelamento-dns-para-camuflar-comunicacao-c2","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/01\/exploits\/zloader-tunelamento-dns-para-camuflar-comunicacao-c2\/","title":{"rendered":"ZLoader, tunelamento DNS para camuflar comunica\u00e7\u00e3o C2"},"content":{"rendered":"\n<p><strong>ZLoader retorna com tunelamento DNS para camuflar comunica\u00e7\u00e3o C2<\/strong><\/p>\n<p style=\"text-align: justify;\">O malware ZLoader, tamb\u00e9m conhecido como Terdot, DELoader ou Silent Night, est\u00e1 de volta em uma vers\u00e3o aprimorada que utiliza o tunelamento de DNS para comunica\u00e7\u00e3o de comando e controle (C2). Essa t\u00e9cnica sofisticada demonstra a evolu\u00e7\u00e3o constante do malware, focada em dificultar a detec\u00e7\u00e3o e mitigar esfor\u00e7os de seguran\u00e7a.<\/p>\n<p style=\"text-align: justify;\">Com novas funcionalidades, como um shell interativo e maior resili\u00eancia contra an\u00e1lises, o ZLoader est\u00e1 cada vez mais associado a ataques de ransomware, como os realizados pelo grupo Black Basta.<\/p>\n<p>\u00a0<\/p>\n<p><strong>O que \u00e9 ZLoader?<\/strong><\/p>\n<p style=\"text-align: justify;\">ZLoader \u00e9 um carregador de malware projetado para implantar cargas maliciosas subsequentes, muitas vezes usado como uma etapa inicial em ataques cibern\u00e9ticos. Derivado do trojan banc\u00e1rio Zeus, o ZLoader herda sua habilidade de:<\/p>\n<ol>\n<li style=\"text-align: justify;\"><strong>Evas\u00e3o de detec\u00e7\u00e3o<\/strong>: Utilizando t\u00e9cnicas como algoritmos de resolu\u00e7\u00e3o de API e verifica\u00e7\u00f5es ambientais.<\/li>\n<li style=\"text-align: justify;\"><strong>Gera\u00e7\u00e3o de Dom\u00ednios (DGA)<\/strong>: Criando automaticamente nomes de dom\u00ednio para dificultar o rastreamento das infraestruturas de comando e controle.<\/li>\n<li style=\"text-align: justify;\"><strong>Distribui\u00e7\u00e3o Adaptada<\/strong>: Evitando execu\u00e7\u00e3o em m\u00e1quinas que diferem do alvo original.<\/li>\n<\/ol>\n<p>\u00a0<\/p>\n<p><strong>Novidades na vers\u00e3o 2.9.4.0 do ZLoader<\/strong><\/p>\n<p><strong>1. Tunelamento DNS para comunica\u00e7\u00e3o C2<\/strong><\/p>\n<p style=\"text-align: justify;\">A principal inova\u00e7\u00e3o \u00e9 o uso de um protocolo personalizado de tunelamento DNS para comunica\u00e7\u00e3o com servidores C2.<\/p>\n<ul>\n<li style=\"text-align: justify;\"><strong>Funcionamento<\/strong>:<br \/>Em vez de usar canais tradicionais, como HTTP ou HTTPS, o malware encapsula os dados de comunica\u00e7\u00e3o em pacotes DNS, que geralmente n\u00e3o s\u00e3o monitorados de perto por ferramentas de seguran\u00e7a.\u00a0\n<ul style=\"text-align: justify;\">\n<li><strong>Exemplo pr\u00e1tico<\/strong>: Um pacote DNS aparentemente inofensivo pode conter comandos maliciosos ou dados exfiltrados, dificultando sua identifica\u00e7\u00e3o por sistemas de detec\u00e7\u00e3o tradicionais.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p><strong>2. Shell interativo<\/strong><\/p>\n<p style=\"text-align: justify;\">O malware agora inclui um shell interativo que permite aos operadores executar comandos complexos diretamente na m\u00e1quina infectada.<\/p>\n<ul>\n<li><strong>Funcionalidades<\/strong>:\n<ul>\n<li>Executar bin\u00e1rios, DLLs e shellcode.<\/li>\n<li>Exfiltrar dados.<\/li>\n<li>Finalizar processos.<\/li>\n<\/ul>\n<\/li>\n<li style=\"text-align: justify;\"><strong>Impacto<\/strong>: Essa funcionalidade \u00e9 extremamente \u00fatil em ataques de ransomware, onde o controle direto do sistema comprometido \u00e9 essencial.<\/li>\n<\/ul>\n<p><strong>3. T\u00e9cnicas avan\u00e7adas de evas\u00e3o<\/strong><\/p>\n<p>O ZLoader continua a aprimorar suas t\u00e9cnicas de evas\u00e3o para evitar:<\/p>\n<ul>\n<li><strong>An\u00e1lises est\u00e1ticas<\/strong>: Adotando algoritmos din\u00e2micos para resolu\u00e7\u00e3o de APIs.<\/li>\n<li style=\"text-align: justify;\"><strong>Sandboxes de malware<\/strong>: Realizando verifica\u00e7\u00f5es ambientais para identificar se est\u00e1 sendo executado em um ambiente de an\u00e1lise.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<div class=\"separator\" style=\"text-align: center;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiJ8hboQkKtk5VBa_mDILwHL4B6rPd8LDXIGmli9AZ_LsMSR_WpQQrcK_Y7-TyfITlL-5NifjIDT0hDmoz4Nw_8oVcFH2YGa3MsfqH8UIBoQT3TEUj81WRwQsYDMUpi97OPbRvtIyc3okbCxR6auwfY4mN_IRqol-zGQDVqLd0QijjqXU-cPGfQ7hCHBkiT\/s728-rw-e365\/attack_chain.png\" class=\"gallery_colorbox\"><img loading=\"lazy\" decoding=\"async\" class=\"loaded\" title=\"DNS Tunneling\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiJ8hboQkKtk5VBa_mDILwHL4B6rPd8LDXIGmli9AZ_LsMSR_WpQQrcK_Y7-TyfITlL-5NifjIDT0hDmoz4Nw_8oVcFH2YGa3MsfqH8UIBoQT3TEUj81WRwQsYDMUpi97OPbRvtIyc3okbCxR6auwfY4mN_IRqol-zGQDVqLd0QijjqXU-cPGfQ7hCHBkiT\/s728-rw-e365\/attack_chain.png\"  alt=\"DNS Tunneling\" width=\"643\" height=\"174\" border=\"0\" data-original-height=\"292\" data-original-width=\"1080\" \/><\/a><\/div>\n<p>\u00a0<\/p>\n<p><strong>Cadeia de ataque e m\u00e9todos de distribui\u00e7\u00e3o<\/strong><\/p>\n<p><strong>M\u00e9todo de infiltra\u00e7\u00e3o<\/strong><\/p>\n<ol>\n<li><strong>Distribui\u00e7\u00e3o inicial<\/strong>:\n<ul>\n<li style=\"text-align: justify;\">O malware \u00e9 frequentemente implantado por meio de conex\u00f5es de desktop remoto (RDP) disfar\u00e7adas como suporte t\u00e9cnico leg\u00edtimo.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Uso do GhostSocks<\/strong>:\n<ul>\n<li style=\"text-align: justify;\">Um componente intermedi\u00e1rio chamado GhostSocks \u00e9 implantado inicialmente para preparar o ambiente e, em seguida, baixar o ZLoader.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p><strong>Associa\u00e7\u00e3o com Black Basta<\/strong><\/p>\n<p style=\"text-align: justify;\">Nos \u00faltimos meses, o ZLoader tem sido usado como uma ferramenta inicial em ataques de ransomware do grupo Black Basta, demonstrando sua import\u00e2ncia como um &#8220;corretor de acesso inicial&#8221;.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Exemplo de explora\u00e7\u00e3o<\/strong><\/p>\n<p><strong>1.Tunelamento DNS<\/strong>:<br \/>Um pacote DNS enviado do dispositivo comprometido pode conter dados como:<\/p>\n<p>\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 query: base64(ZLoaderCommand)<br \/>\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0 response: base64(ServerResponse)<\/p>\n<p>\u00a0<\/p>\n<p><strong>2. Shell Interativo<\/strong>:<br \/>Comandos como os abaixo podem ser executados no dispositivo infectado:<\/p>\n<p>\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0exec_shellcode -run payload.bin<br \/>\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0exfiltrate_data -path \/sensitive\/data<br \/>\u00a0 \u00a0 \u00a0 \u00a0 \u00a0 \u00a0terminate_process -id 1234<\/p>\n<p>\u00a0<\/p>\n<p><strong>Como mitigar o risco?<\/strong><\/p>\n<p><strong>Recomenda\u00e7\u00f5es para empresas e usu\u00e1rios<\/strong><\/p>\n<p><strong>1. Monitoramento de tr\u00e1fego DNS<\/strong>:<\/p>\n<ol>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Implementar solu\u00e7\u00f5es que analisem e detectem anomalias em pacotes DNS.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p><strong>2. Bloqueio de conex\u00f5es RDP n\u00e3o autorizadas<\/strong>:<\/p>\n<ol>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Restringir o acesso remoto a sistemas corporativos e utilizar autentica\u00e7\u00e3o multifator.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p><strong>3. Atualiza\u00e7\u00f5es e patches<\/strong>:<\/p>\n<ol>\n<li style=\"list-style-type: none;\">\n<ul>\n<li style=\"text-align: justify;\">Manter sistemas e softwares sempre atualizados para corrigir vulnerabilidades exploradas pelo ZLoader.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p><strong>4. Educa\u00e7\u00e3o de funcion\u00e1rios<\/strong>:<\/p>\n<ul>\n<li style=\"list-style-type: none;\">\n<ul>\n<li>Alertar usu\u00e1rios sobre os perigos de intera\u00e7\u00f5es com supostos t\u00e9cnicos de suporte.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">A nova vers\u00e3o do ZLoader demonstra como os cibercriminosos est\u00e3o inovando para burlar as defesas tradicionais. Com o uso de tunelamento DNS e um shell interativo avan\u00e7ado, o malware se torna uma ferramenta poderosa para ataques sofisticados.<\/p>\n<p style=\"text-align: justify;\">Organiza\u00e7\u00f5es devem adotar uma abordagem proativa para monitorar, identificar e mitigar amea\u00e7as, al\u00e9m de investir em solu\u00e7\u00f5es de seguran\u00e7a que acompanhem a evolu\u00e7\u00e3o constante das t\u00e9cnicas de ataque.<\/p>\n<p>\u00a0<\/p>\n<p>Fonte e imagens: <a href=\"https:\/\/thehackernews.com\/2024\/12\/zloader-malware-returns-with-dns.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2024\/12\/zloader-malware-returns-with-dns.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>ZLoader retorna com tunelamento DNS para camuflar comunica\u00e7\u00e3o C2 O malware ZLoader, tamb\u00e9m conhecido como Terdot, DELoader ou Silent Night, est\u00e1 de volta em uma vers\u00e3o aprimorada que utiliza o tunelamento de DNS para comunica\u00e7\u00e3o de comando e controle (C2). Essa t\u00e9cnica sofisticada demonstra a evolu\u00e7\u00e3o constante do malware, focada em dificultar a detec\u00e7\u00e3o e [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21519,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21514","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21514","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21514"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21514\/revisions"}],"predecessor-version":[{"id":21520,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21514\/revisions\/21520"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21519"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21514"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21514"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21514"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}