BI.ZONE Secure DNS блокирует активность новой версии Zloader

Zloader вернулся — и стал еще незаметнее. Вредоносное ПО маскирует трафик под легитимный DNS и WSS, что делает его обнаружение особенно сложным. BI.ZONE Secure DNS закрывает этот вектор атаки

26 сентября 2025 г.

В конце сентября эксперты по кибербезопасности зафиксировали новую вариативную сборку вредоносного ПО Zloader. Это ВПО основано на исходном коде знаменитого ботнета Zeus, но используется уже в других целях. В отличие от своего предшественника Zbot, который использовался как банковский ботнет для реализации web injection и перехвата доступа к счетам жертв, Zloader применяется в качестве инструмента первоначального доступа. Он позволяет доставить на устройство дополнительную полезную нагрузку — от программ‑вымогателей до средств удаленного управления (сommand and сontrol, C2). Таким образом, Zloader сочетает функции remote access trojan (RAT) и дроппера.

Методы работы Zloader

Управление зараженными устройствами в Zloader осуществляется при помощи специализированных команд‑запросов и ответов, которые передаются по протоколам Web Sockets Secure (WSS), DNS‑over‑TLS (DoT), DNS‑over‑HTTPS (DoH). Для передачи данных через протокол DNS malware‑агент использует классическую технику QNAME/RDATA, когда транспорт строится через FQDN‑запросы и ответы, например в AAAA- или TXT‑записях.

Для сокрытия коммуникаций применяется двухуровневое шифрование: на уровне инкапсулированных данных и на уровне соединения. Подобная техника реализуется в C&C‑инструменте BruteRatel C4, предназначенном для red team.

Кроме того, в новой версии Zloader используется алгоритм генерации доменных имен (domain generation algorithm, DGA) на основе системного времени. Таким образом, атакующий может заранее рассчитать и зарегистрировать домен для C&C, который по теории математического ожидания будет сгенерирован в предустановленный момент времени.

Сложности детектирования

Комбинация DoH/DoT, инкапсуляции данных в DNS и DGA делают активность Zloader малозаметной. Трафик внешне похож на легитимные запросы к защищенным сервисам, что усложняет фильтрацию и требует специализированных средств анализа.

Zloader демонстрирует, насколько трудно обнаружить современные варианты передачи транспортного трафика C2‑агентов. Они используют легитимные протоколы и шифрование, а значит, классическими методами их активность заметить крайне сложно.

Алексей Романов

Руководитель направления развития, облачные решения BI.ZONE

Как BI.ZONE Secure DNS противодействует угрозе

BI.ZONE Secure DNS обладает множеством механизмов как на базе профилирования, сигнатурного анализа, так и на основе технологий искусственного интеллекта. Это позволяет выявлять и блокировать:

DNS‑туннелирование;
домены, сгенерированные с помощью DGA;
аномальные паттерны работы с DNS‑записями.

Таким образом, решение перекрывает ключевые каналы Zloader и предотвращает попытки скомпрометировать инфраструктуру организаций.