Qakbot新型感染鏈:使用Windows7系統側載入感染裝置

埃文科技發表於2022-07-26

前言:DLL側載入(DLL side-loading)是一種常見的攻擊方法,也就是我們常說的“白加黑”技術,它利用了Windows中處理動態連結庫(DLL)的方式。Qakbot惡意軟體的開發者透過使用Windows7系統在被感染的計算機上側載入惡意負載,最終達到感染裝置的效果。

近日,安全研究人員ProxyLife發現,從今年7月11日開始Qakbot濫用Windows 7 Calculator應用程式進行DLL側載入攻擊。這種方法也被繼續被用於惡意垃圾郵件活動。

Qakbot 惡意軟體的開發者透過使用Windows7系統在被感染的計算機上側載入惡意負載,最終達到感染裝置的效果。

Qakbot新型感染鏈:使用Windows7系統側載入感染裝置

DLL側載入(DLL side-loading)

動態連結DLL是包含了若干個函式、類和資源的庫檔案。它可以被其他可執行檔案(如.EXE檔案和其它DLL檔案)動態呼叫。使用DL的第一個優點是使多個應用程式,甚至是不同語言編寫的應用程式可以共享一個DL檔案,真正實現了“資源共享”;另一個優點是將DL檔案作為應用程式一個獨立的模組設計時,可以提高軟體的開發速度,為軟體升級提供了方便。

Qakbot新型感染鏈:使用Windows7系統側載入感染裝置

而DLL側載入(DLL side-loading)是一種常見的攻擊方法,也就是我們常說的“白加黑”技術,它利用了Windows中處理動態連結庫(DLL)的方式。DLL側載入(DLL side-loading)惡意軟體透過欺騙一個合法的DLL,會在Windows的WinSxS目錄中放置一個偽造的惡意DLL檔案,以便作業系統載入它而不是合法檔案。

DLL側載入攻擊(DLL side-loading Attack)

通常在Microsoft Windows中,程式可以透過指定完整路徑或使用清單等其他機制來定義在執行時載入哪些庫或資料夾。程式清單可以包括DLL重定向、檔名或完整路徑。因此,如果清單隻引用了一個庫檔名,它被視為弱引用並且容易受到DLL側載入攻擊。

DLL側載入攻擊主要是利用弱庫引用和Windows預設的搜尋順序,在系統上放置一個偽裝成合法DLL的惡意DLL檔案,合法程式將自動載入該檔案。

DLL側載入通常會被勒索軟體運營商使用,他們利用DLL側載入來執行勒索軟體有效載荷,以逃避安全產品的檢測

Qakbot病毒

Qakbot新型感染鏈:使用Windows7系統側載入感染裝置

Qakbot病毒最開始是一種銀行木馬,受影響系統為微軟Windows。Qakbot最早被發現於2009年,根據微軟的分析,Qakbot被認為是由網路犯罪組織Gold Lagoon建立的。

Qakbot專門針對企業、銀行、醫療、教育等機構進行強大的資訊竊取功能,並持續監控使用者的銀行活動以欺詐大量錢財。

近年來,Qakbot發現了多個升級的變種,利用高階技術進行反檢測與自我偽裝,試圖躲過了防毒軟體檢測。後來Qakbot演變成了惡意軟體投遞器,勒索軟體團伙在攻擊的早期階段使用它來投遞攻擊信標,造成了許多重大經濟損失。

而且Qakbot交付的其它勒索軟體包括RansomExx、Maze、ProLock和Egregor,最近,還發布了Black Basta勒索軟體。

Qakbot新型感染鏈:使用Windows7系統側載入感染裝置

Qakbot新型感染鏈

那麼Qakbot病毒是如何執行DLL側載入(DLL side-loading)?

為了防禦這種危險連結和攻擊,ProxyLife和Cyble的研究人員記仔細研究和記錄了新型的Qakbot感染鏈。

在最新的活動中使用的電子郵件帶有一個HTML檔案附件,該附件下載了一個有密碼保護的ZIP壓縮包,其中包含一個ISO檔案。

開啟ZIP檔案的密碼顯示在HTML檔案中,鎖定存檔的原因是為了躲避反病毒軟體的檢測。

ISO包含一個lnk檔案,一個“calc.exe”(Windows計算器)的副本,以及兩個DLL檔案,即WindowsCodecs.dll和一個名7533.dll的有效負載。

Qakbot新型感染鏈:使用Windows7系統側載入感染裝置


當使用者掛載ISO檔案時,它只顯示lnk檔案,該檔案被偽裝成有重要資訊的PDF檔案或使用Microsoft Edge瀏覽器開啟的檔案。

然而,在Windows中,快捷方式指向計算器應用程式。

單擊快捷方式透過命令提示符執行Calc.exe最終就會觸發感染。

Qakbot惡意軟體的新型感染鏈的關鍵在於感染檔案會被偽裝成其它檔案。因為在載入時,Windows 7系統會自動搜尋並嘗試載入合法的WindowsCodecs DLL檔案。

但是,Windows 7系統不會檢查某些硬編碼路徑中的DLL,如果將DLL檔案放置在與Calc.exe可執行檔案相同的資料夾中,它將載入具有相同名稱的任何DLL。

威脅者就是利用這個漏洞,建立他們自己的惡意WindowsCodecs.dll檔案,然後啟動其它編號.dll檔案。

Qakbot新型感染鏈:使用Windows7系統側載入感染裝置

透過像Windows系統程式安裝Qakbot後,一些安全軟體在載入惡意軟體時則無法檢測出它,造成了這種威脅逃避了安全軟體檢測。

但是有一點,此DLL側載入漏洞不適用於Windows 10 Calc.exe及以後版本,這也是威脅者會針對Windows 7版本的原因。

Qakbot已經有十多年的歷史了,雖然投放這種病毒的活動並不頻繁,但是根據記載,Emotet殭屍網路曾經透過散佈這種病毒來投放勒索軟體的有效載荷。

(部分訊息連結:https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/)


相關文章