Qakbot新型感染鏈:使用Windows7系統側載入感染裝置
前言:DLL側載入(DLL side-loading)是一種常見的攻擊方法,也就是我們常說的“白加黑”技術,它利用了Windows中處理動態連結庫(DLL)的方式。Qakbot惡意軟體的開發者透過使用Windows7系統在被感染的計算機上側載入惡意負載,最終達到感染裝置的效果。
近日,安全研究人員ProxyLife發現,從今年7月11日開始Qakbot濫用Windows 7 Calculator應用程式進行DLL側載入攻擊。這種方法也被繼續被用於惡意垃圾郵件活動。
Qakbot 惡意軟體的開發者透過使用Windows7系統在被感染的計算機上側載入惡意負載,最終達到感染裝置的效果。
DLL側載入(DLL side-loading)
動態連結DLL是包含了若干個函式、類和資源的庫檔案。它可以被其他可執行檔案(如.EXE檔案和其它DLL檔案)動態呼叫。使用DL的第一個優點是使多個應用程式,甚至是不同語言編寫的應用程式可以共享一個DL檔案,真正實現了“資源共享”;另一個優點是將DL檔案作為應用程式一個獨立的模組設計時,可以提高軟體的開發速度,為軟體升級提供了方便。
而DLL側載入(DLL side-loading)是一種常見的攻擊方法,也就是我們常說的“白加黑”技術,它利用了Windows中處理動態連結庫(DLL)的方式。DLL側載入(DLL side-loading)惡意軟體透過欺騙一個合法的DLL,會在Windows的WinSxS目錄中放置一個偽造的惡意DLL檔案,以便作業系統載入它而不是合法檔案。
DLL側載入攻擊(DLL side-loading Attack)
通常在Microsoft Windows中,程式可以透過指定完整路徑或使用清單等其他機制來定義在執行時載入哪些庫或資料夾。程式清單可以包括DLL重定向、檔名或完整路徑。因此,如果清單隻引用了一個庫檔名,它被視為弱引用並且容易受到DLL側載入攻擊。
DLL側載入攻擊主要是利用弱庫引用和Windows預設的搜尋順序,在系統上放置一個偽裝成合法DLL的惡意DLL檔案,合法程式將自動載入該檔案。
DLL側載入通常會被勒索軟體運營商使用,他們利用DLL側載入來執行勒索軟體有效載荷,以逃避安全產品的檢測。
Qakbot病毒
Qakbot病毒最開始是一種銀行木馬,受影響系統為微軟Windows。Qakbot最早被發現於2009年,根據微軟的分析,Qakbot被認為是由網路犯罪組織Gold Lagoon建立的。
Qakbot專門針對企業、銀行、醫療、教育等機構進行強大的資訊竊取功能,並持續監控使用者的銀行活動以欺詐大量錢財。
近年來,Qakbot發現了多個升級的變種,利用高階技術進行反檢測與自我偽裝,試圖躲過了防毒軟體檢測。後來Qakbot演變成了惡意軟體投遞器,勒索軟體團伙在攻擊的早期階段使用它來投遞攻擊信標,造成了許多重大經濟損失。
而且Qakbot交付的其它勒索軟體包括RansomExx、Maze、ProLock和Egregor,最近,還發布了Black Basta勒索軟體。
Qakbot新型感染鏈
那麼Qakbot病毒是如何執行DLL側載入(DLL side-loading)?
為了防禦這種危險連結和攻擊,ProxyLife和Cyble的研究人員記仔細研究和記錄了新型的Qakbot感染鏈。
在最新的活動中使用的電子郵件帶有一個HTML檔案附件,該附件下載了一個有密碼保護的ZIP壓縮包,其中包含一個ISO檔案。
開啟ZIP檔案的密碼顯示在HTML檔案中,鎖定存檔的原因是為了躲避反病毒軟體的檢測。
ISO包含一個lnk檔案,一個“calc.exe”(Windows計算器)的副本,以及兩個DLL檔案,即WindowsCodecs.dll和一個名7533.dll的有效負載。
當使用者掛載ISO檔案時,它只顯示lnk檔案,該檔案被偽裝成有重要資訊的PDF檔案或使用Microsoft Edge瀏覽器開啟的檔案。
然而,在Windows中,快捷方式指向計算器應用程式。
單擊快捷方式透過命令提示符執行Calc.exe最終就會觸發感染。
Qakbot惡意軟體的新型感染鏈的關鍵在於感染檔案會被偽裝成其它檔案。因為在載入時,Windows 7系統會自動搜尋並嘗試載入合法的WindowsCodecs DLL檔案。
但是,Windows 7系統不會檢查某些硬編碼路徑中的DLL,如果將DLL檔案放置在與Calc.exe可執行檔案相同的資料夾中,它將載入具有相同名稱的任何DLL。
威脅者就是利用這個漏洞,建立他們自己的惡意WindowsCodecs.dll檔案,然後啟動其它編號.dll檔案。
透過像Windows系統程式安裝Qakbot後,一些安全軟體在載入惡意軟體時則無法檢測出它,造成了這種威脅逃避了安全軟體檢測。
但是有一點,此DLL側載入漏洞不適用於Windows 10 Calc.exe及以後版本,這也是威脅者會針對Windows 7版本的原因。
Qakbot已經有十多年的歷史了,雖然投放這種病毒的活動並不頻繁,但是根據記載,Emotet殭屍網路曾經透過散佈這種病毒來投放勒索軟體的有效載荷。
(部分訊息連結:https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/)
相關文章
- 新型“智慧繃帶” 能提醒你傷口是否感染
- UNIX系統感染病毒的解決方法(轉)
- 每週下載數百萬次!惡意軟體包感染Linux和Windows裝置引發供應鏈攻擊LinuxWindows
- 載入頁面:網站如何導致使用者感染惡意軟體網站
- 警惕破解軟體!APS 竊密木馬已感染萬餘臺裝置
- 病毒感染hosts檔案!
- 群暉使用者注意!QSnatch惡意軟體感染了數千個NAS裝置,竊取了憑證
- 6月第4周業務風控關注 |安卓使用者注意了 黑客試圖利用Fortnite感染裝置安卓黑客
- Synology警告惡意軟體透過暴力攻擊用勒索軟體感染NAS裝置
- 載入usb裝置!
- 【格物獵蹤】突發-新型Gafgyt殭屍網路變種感染Seowon路由器路由器
- Bart勒索軟體無需連線C&C伺服器就能加密感染裝置的檔案伺服器加密
- 每日安全資訊:谷歌剖析Triada安卓病毒,在手機發售前感染系統映象谷歌安卓
- macOS上修復感染autorun病毒優盤Mac
- 感染Flash檔案的病毒現身 (轉)
- YouGov:33%的美國人害怕感染新冠病毒Go
- 謹防垃圾郵件,小心感染Emotet木馬
- 醫療裝置管理系統-智慧裝置管理系統平臺
- 針對 Linux 系統的勒索軟體感染了成千上萬的伺服器Linux伺服器
- 五萬 Minecraft 使用者感染了格式化硬碟的惡意程式Raft硬碟
- 關於新型冠狀病毒感染的肺炎疫情對中國冰雪產業的影響調查總結報告產業
- 列舉系統裝置
- 病毒感染檔案後圖示模糊的原因
- 使用lsblk命令列出系統中的塊裝置命令列
- 蘋果mac系統下安裝windows7系統詳細教程蘋果MacWindows
- SpyCloud :2022年超過7億個賬戶資訊被洩露 2200萬臺裝置被感染Cloud
- 俄羅斯暗網出現新型勒索軟體 GandCrab ,要求支付達世幣贖金、不得感染獨聯體國家
- 中國是惡意程式感染率最高的國家
- 認識計算機感染病毒異常現象計算機
- /etc/fstab檔案中系統啟動不能自動載入usb裝置的分割槽
- Windows7系統輸入法的設定技巧Windows
- 作業系統裝置管理作業系統
- 網路攻擊中超過一半的初始感染來自漏洞和脆弱的供應鏈
- Mac電腦使用者需警惕!超過3萬Mac已感染 “銀麻雀”病毒Mac
- 注意!Google Play商店超過200款軟體被感染,下載量達1.5億次!Go
- 藍芽成“零號感染源”,或將吞噬整個蘋果!藍芽蘋果
- Roaming Mantis:透過Wi-Fi路由感染智慧手機路由
- 機器學習演算法可有效發現艱難梭菌感染機器學習演算法