分發 QBot 惡意軟體的網絡釣魚電子郵件利用 Windows 10 控制台中的 DLL 劫持漏洞來感染計算機,可能是為了逃避安全軟體的檢測。
DLL 劫持是一種常見的攻擊方法,它利用了動态連結庫 (DLL) 在 Windows 中的加載方式。
啟動 Windows 可執行檔案時,它将在 Windows 搜尋路徑中搜尋任何 DLL 依賴項。但是,如果攻擊者使用與程式所需 DLL 之一同名的名稱建立惡意 DLL,并将其存儲在與可執行檔案相同的檔案夾中,則該程式将改為加載該惡意 DLL 并感染計算機。
QBot,也稱為 Qakbot,是一種 Windows 惡意軟體,最初是銀行木馬,後來演變成一個功能齊全的惡意軟體植入程式。勒索軟體團夥,包括 Black Basta、 Egregor和 Prolock,也使用惡意軟體獲得對公司網絡的初始通路權限。
7 月,安全研究員 ProxyLife 發現攻擊者正在利用 Windows 7 電腦中的 DLL 劫持漏洞 來安裝 QBot 惡意軟體。
本周,ProxyLife 告訴 BleepingComputer,攻擊者已經轉而使用 Windows 10 控制台可執行檔案 control.exe 中的 DLL 劫持漏洞。
攻擊者使用竊取的回複鍊電子郵件分發 HTML 檔案附件,下載下傳受密碼保護的 ZIP 存檔,其中包含 ISO 檔案。
新活動中的 QBot 網絡釣魚電子郵件,來源:BleepingComputer
HTML 檔案的名稱類似于“RNP_[number]_[number].html”,它顯示了一個僞裝成 Google Drive 的圖像和自動下載下傳的 ZIP 存檔的密碼,如下所示。
QBot 垃圾郵件中的 HTML 附件,來源:BleepingComputer
此 ZIP 存檔包含一個 ISO 磁盤映像,輕按兩下該映像将在 Windows 10 及更高版本中自動在新的驅動器号中打開。
此 ISO 檔案包含一個 Windows 快捷方式 (.LNK) 檔案、一個 “control.exe” (Windows 10 控制台)可執行檔案以及兩個名為 edputil.dll (用于 DLL 劫持)和 msoffice32.dll (QBot 惡意軟體)的 DLL 檔案。
ISO鏡像内容,來源:BleepingComputer
包含在 ISO 中的 Windows 快捷方式 (.LNK) 使用一個圖示,試圖讓它看起來像一個檔案夾。
然而,當使用者試圖打開這個假檔案夾時,快捷方式會啟動 Windows 10 控制台可執行檔案 control.exe,它存儲在 ISO 檔案中,如下所示。
觸發 QBot 感染的 Windows 快捷方式,來源:BleepingComputer
當 control.exe 啟動時,它會自動嘗試加載位于 C:\Windows\System32 檔案夾中的合法 edputil.dll DLL。但是,它不會檢查特定檔案夾中的 DLL,如果與 control.exe 可執行檔案放在同一檔案夾中,它将加載任何同名的 DLL。
由于攻擊者将惡意 edputil.dll DLL 捆綁在與 control.exe 相同的檔案夾中,是以将加載該惡意 DLL。
加載後,惡意 edputil.dll DLL 會使用 regsvr32.exe msoffice32.dll 指令用 QBot 惡意軟體 ( msoffice32.dll ) 感染裝置。
通過 Windows 10 控制台等受信任程式安裝 QBot,安全軟體可能不會将惡意軟體标記為惡意軟體,進而使其逃避檢測。
QBot 現在将在背景安靜地運作,竊取電子郵件用于網絡釣魚攻擊并下載下傳額外的有效負載,例如 Brute Ratel 或 Cobalt Strike。
Brute Ratel 和 Cobalt Strike 是攻擊者用來遠端通路目标網絡常用的攻擊架構。這種遠端通路通常會導緻企業資料被盜和勒索軟體攻擊。