恶意软件ZLoader全球肆虐，通过微软签名漏洞绕过防御机制

最近的网络安全研究发现，一个被命名为ZLoader的恶意软件正在活跃传播，该恶意软件利用远程监控工具和一个存在 9 年之久的微软数字签名验证漏洞来窃取用户凭据和敏感信息。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，该恶意软件的感染链中包含的技术包括使用合法的远程管理软件 (RMM) 来获得对目标机器的初始访问权限，然后恶意软件利用微软的数字签名验证方法将其有效载荷注入到签名的系统 DLL 中，以进一步规避系统的防御。

ZLoader恶意软件的核心是银行木马，从受感染的系统中窃取受害者的cookie、密码和其他个人敏感信息。据称，截至 2022 年 1 月 2 日，ZLoader恶意软件已在 111 个国家和地区传播。

攻击流程从诱骗用户安装名为 Atera 的合法企业远程监控软件开始，使用它上传和下载任意文件以及执行恶意脚本。但是，分发安装程序文件的确切模式目前仍然未知。

其中一个文件用于向 Windows Defender 添加排除项，而第二个文件继续检索和执行下一阶段的有效攻击载荷，包括一个名为 appContast.dll 的 DLL 文件，该文件又用于运行 ZLoader 二进制文件 9092.dll 。

值得注意的是，appContast.dll 不仅由微软使用有效证书进行签名，而且该文件最初是一个应用程序解析器模块 AppResolver.dll，已被调整并注入恶意脚本以加载最后阶段的恶意软件。

这可以通过利用漏洞号为 CVE-2013-3900 的已知漏洞（一个 WinVerifyTrust 签名验证漏洞）实现，该漏洞允许远程攻击者通过对文件进行足够细微的更改而不撤销文件的有效性，通过特制的可移植可执行文件执行任意代码电子签名。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，尽管微软在 2013 年修复了这个漏洞，但却在 2014 年 7 月表示不再将更严格的验证行为作为 Windows 支持版本的默认功能，将其作为可选功能提供。换句话说，默认情况下禁用了此修复程序，这使恶意软件依然能够修改签名文件。