Zloader是一种基于Zeus的复杂模块化木马，于2015年首次出现。它已从最初专注于银行业务的运作发生了重大转变，成为企业环境中勒索软件攻击的一个危险入口点。

该恶意软件家族最初旨在为金融欺诈提供便利，如今已演变为初始访问代理的强大工具，这些代理专门为网络犯罪分子提供未经授权进入目标组织的途径。

在经历了近两年的沉寂后，Zloader于2023年9月重新出现，并进行了重大升级，使其成为如今企业安全团队面临的最令人担忧的威胁之一。

这种恶意软件如今具备复杂的混淆技术、先进的反分析能力以及改进的网络通信协议，使其能够在企业网络中秘密运作，同时为后续勒索软件的部署建立持久的立足点。

与许多依赖大规模分发活动的其他恶意软件家族不同，Zloader采用了一种高度针对性的方法，注重精准度而非数量。

这种战略转变使威胁行为者能够精心挑选高价值的企业目标，并定制攻击以实现最大影响。

这种恶意软件的模块化架构使攻击者能够根据需要部署额外的有效载荷和工具，使其成为多阶段勒索软件攻击的理想平台。

Zloader的新代码混淆技术以及反混淆后的相同功能（来源——Zscaler）

Zscaler分析师发现了Zloader的两个最新版本，具体为2.11.6.0和2.13.7.0，这些版本在规避能力和网络通信协议方面有显著改进。

这些版本引入了新功能，增强了恶意软件在企业网络内进行横向移动的能力，同时保持持久性并规避安全解决方案的检测。

这种恶意软件的演变反映了一个更广泛的趋势，即网络犯罪分子将现有工具改用于勒索软件操作，利用经过验证的感染途径和成熟的命令与控制基础设施来简化其攻击流程。

高级反分析与规避技术

Zloader的最新迭代版本已实施复杂的反分析机制，旨在阻挠安全研究人员并规避自动化检测系统。

一个显著的增强涉及恶意软件的文件名要求，此前的版本需要特定的硬编码文件名才能正常执行。

当前版本引入了包括“Updater.exe”和“Updater.dll”在内的通用文件名，这为威胁参与者提供了更大的部署灵活性，同时保持了沙箱规避能力。

这种恶意软件采用了多层基于XOR的混淆技术，这极大地增加了静态分析工作的难度。安全研究人员已开发出专门的IDA脚本以处理这些混淆层：-

import idautils
XOR_KEY = 0xAE # CHANGE ACCORDINGLY 
FUNCTION_NAME = "Calculate_Int1" # CHANGE ACCORDINGLY
# Iterate through all functions in the IDA database.
for func_addr in Functions():
    func_name = get_func_name(func_addr)
    if func_name.startswith(FUNCTION_NAME): 
        print(f"Processing function: {func_name}")
        # Search for cross-references (xrefs) to the function.
        for xref in idautils.XrefsTo(func_addr):
            print(f"\tFound xref at: {hex(xref.frm)}")
            # Grab the DWORD passed and perform a XOR operation on it.
            param = ida_bytes.get_byte(xref.frm-1) # CHANGE ACCORDINGLY
            result = param ^ XOR_KEY 
            mov_eax_constant = b'\xB8' + result.to_bytes(4, 'little')
            ida_bytes.patch_bytes(xref.frm, mov_eax_constant)
            set_cmt(xref.frm, FUNCTION_NAME, 0)

或许最重要的是，Zloader现在将进程完整性级别验证作为一种额外的沙箱检测机制。

如果检测到高完整性进程（这类进程在自动化分析环境中常用），该恶意软件就会终止运行。

这种行为变化体现了一种精心策划的权衡——恶意软件牺牲了较高的系统访问权限，以换取更强的隐身能力，使其能够在大多数企业工作站运行的标准用户环境中不被发现地运作。