Qakbot新型感染链:使用Windows7系统侧加载感染设备

专注IP定位
• 阅读 518

前言:DLL侧加载(DLL side-loading)是一种常见的攻击方法,也就是我们常说的“白加黑”技术,它利用了Windows中处理动态链接库(DLL)的方式。Qakbot恶意软件的开发者通过使用Windows7系统在被感染的计算机上侧加载恶意负载,最终达到感染设备的效果。 近日,安全研究人员ProxyLife发现,从今年7月11日开始Qakbot滥用Windows 7 Calculator应用程序进行DLL侧加载攻击。这种方法也被继续被用于恶意垃圾邮件活动。 Qakbot 恶意软件的开发者通过使用Windows7系统在被感染的计算机上侧加载恶意负载,最终达到感染设备的效果。 Qakbot新型感染链:使用Windows7系统侧加载感染设备 DLL侧加载(DLL side-loading) 动态链接DLL是包含了若干个函数、类和资源的库文件。它可以被其他可执行文件(如.EXE文件和其它DLL文件)动态调用。使用DL的第一个优点是使多个应用程序,甚至是不同语言编写的应用程序可以共享一个DL文件,真正实现了“资源共享”;另一个优点是将DL文件作为应用程序一个独立的模块设计时,可以提高软件的开发速度,为软件升级提供了方便。 Qakbot新型感染链:使用Windows7系统侧加载感染设备 而DLL侧加载(DLL side-loading)是一种常见的攻击方法,也就是我们常说的“白加黑”技术,它利用了Windows中处理动态链接库(DLL)的方式。DLL侧加载(DLL side-loading)恶意软件通过欺骗一个合法的DLL,会在Windows的WinSxS目录中放置一个伪造的恶意DLL文件,以便操作系统加载它而不是合法文件。 DLL侧加载攻击(DLL side-loading Attack) Qakbot新型感染链:使用Windows7系统侧加载感染设备 通常在Microsoft Windows中,程序可以通过指定完整路径或使用清单等其他机制来定义在运行时加载哪些库或文件夹。程序清单可以包括DLL重定向、文件名或完整路径。因此,如果清单只引用了一个库文件名,它被视为弱引用并且容易受到DLL侧加载攻击。 DLL侧加载攻击主要是利用弱库引用和Windows默认的搜索顺序,在系统上放置一个伪装成合法DLL的恶意DLL文件,合法程序将自动加载该文件。 DLL侧加载通常会被勒索软件运营商使用,他们利用DLL侧加载来执行勒索软件有效载荷,以逃避安全产品的检测。 Qakbot新型感染链:使用Windows7系统侧加载感染设备 Qakbot病毒 Qakbot病毒最开始是一种银行木马,受影响系统为微软Windows。Qakbot最早被发现于2009年,根据微软的分析,Qakbot被认为是由网络犯罪组织Gold Lagoon创建的。 Qakbot专门针对企业、银行、医疗、教育等机构进行强大的信息窃取功能,并持续监控用户的银行活动以欺诈大量钱财。 近年来,Qakbot发现了多个升级的变种,利用高级技术进行反检测与自我伪装,试图躲过了杀毒软件检测。后来Qakbot演变成了恶意软件投递器,勒索软件团伙在攻击的早期阶段使用它来投递攻击信标,造成了许多重大经济损失。 而且Qakbot交付的其它勒索软件包括RansomExx、Maze、ProLock和Egregor,最近,还发布了Black Basta勒索软件。 Qakbot新型感染链:使用Windows7系统侧加载感染设备 Qakbot新型感染链 那么Qakbot病毒是如何运行DLL侧加载(DLL side-loading)? 为了防御这种危险链接和攻击,ProxyLife和Cyble的研究人员记仔细研究和记录了新型的Qakbot感染链。 在最新的活动中使用的电子邮件带有一个HTML文件附件,该附件下载了一个有密码保护的ZIP压缩包,其中包含一个ISO文件。 打开ZIP文件的密码显示在HTML文件中,锁定存档的原因是为了躲避反病毒软件的检测。 ISO包含一个lnk文件,一个“calc.exe”(Windows计算器)的副本,以及两个DLL文件,即WindowsCodecs.dll和一个名7533.dll的有效负载。 Qakbot新型感染链:使用Windows7系统侧加载感染设备 当用户挂载ISO文件时,它只显示lnk文件,该文件被伪装成有重要信息的PDF文件或使用Microsoft Edge浏览器打开的文件。 然而,在Windows中,快捷方式指向计算器应用程序。 单击快捷方式通过命令提示符执行Calc.exe最终就会触发感染。 Qakbot恶意软件的新型感染链的关键在于感染文件会被伪装成其它文件。因为在加载时,Windows 7系统会自动搜索并尝试加载合法的WindowsCodecs DLL文件。 但是,Windows 7系统不会检查某些硬编码路径中的DLL,如果将DLL文件放置在与Calc.exe可执行文件相同的文件夹中,它将加载具有相同名称的任何DLL。 威胁者就是利用这个漏洞,创建他们自己的恶意WindowsCodecs.dll文件,然后启动其它编号.dll文件。 通过像Windows系统程序安装Qakbot后,一些安全软件在加载恶意软件时则无法检测出它,造成了这种威胁逃避了安全软件检测。 但是有一点,此DLL侧加载漏洞不适用于Windows 10 Calc.exe及以后版本,这也是威胁者会针对Windows 7版本的原因。 Qakbot已经有十多年的历史了,虽然投放这种病毒的活动并不频繁,但是根据记载,Emotet僵尸网络曾经通过散布这种病毒来投放勒索软件的有效载荷。 (部分消息链接:https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/)

点赞
收藏
评论区
推荐文章
Ustinain Ustinain
3年前
初识动态链接库(DLL)
初识DLLDLL是DynamiclinkLibrary的缩写以为动态链接库。在Windows中,许多的应用程序并不是一个完整的可执行文件,会被分成一些相对独立的动态链接库,如DLL文件,放置于系统中比如:Windows系统是许多动态链接库(DLL)组成的是Windows最基本的应用程序但我们执行运行某一个应用程序的时候,相应的DLL文件就会被程
木马病毒你需要知道的15个技术点。
木马病毒方式1:模块通过三方签名过杀毒检测,注册表进行开机启动,通过url进行数据传递,释放不同exe或者文件进行木马功能,感染的dll数据会通过加密,会通过注入explorer.exe,services.exe,spoolsv.exe进行功能实现。木马病毒方式2:通过向系统进程services.exe,explorer.exe,svchost.exe注
Ustinain Ustinain
3年前
利用CreateRemoteThread( ) 实现远程线程注入
前言首先想法是强制创建一个目标进程的线程,把我自己的恶意DLL加载进去被注入的DLL拥有目标进程内存的访问权限,所以我们可以通过该向某个进程注入DLL时的方法主要有以下三种:•创建远程线程(CreateRemoteThread()API)•使用注册表(AppInitDLLs值)•消息钩取(SetWindowsHookEx())小试牛刀目前尝试第一
专注IP定位 专注IP定位
3年前
网络安全信息与动态周报(8月30日-9月5日)
本周,互联网网络安全态势整体评价为良。我国互联网基础设施运行整体平稳,全国范围或省级行政区域内未发生造成重大影响的基础设施运行安全事件。针对政府、企业以及广大互联网用户的主要安全威胁来自于软件高危漏洞、恶意代码传播以及网站攻击。本周网络病毒活动情况:境内计算机恶意程序传播次数约为7430.0万次,境内感染计算机恶意程序主机数量约为77.8万个。本周境内感染网
李志宽 李志宽
3年前
日子越来越有判头了?用DLL劫持,搞点事情!
0x01dll简介在Windows系统中,为了节省内存和实现代码重用,微软在Windows操作系统中实现了一种共享函数库的方式。这就是DLL(DynamicLinkLibrary),即动态链接库,这种库包含了可由多个程序同时使用的代码和数据。每个DLL都有一个入口函数(DLLMain),系统在特定环境下会调用DLLMain。在下面的事件发生时就会调用d
Stella981 Stella981
3年前
Linux应急响应(三):挖矿病毒
0x00前言随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、WeblogicWLS组件漏洞、Jboss
Stella981 Stella981
3年前
Android侧滑原来可以这么优雅
前言侧滑手势在AndroidApp应用得非常广泛,常见的使用场景包括:滑动抽屉、侧滑删除、侧滑返回、下拉刷新以及侧滑封面等。由于这些使用场景实在是太通用了,各路大神们八仙过海各显神通,每种侧滑场景都开源出了很多非常实用的框架,让我们的业务开发便利了很多。目前,我们需要为每种场景引入不同的侧滑框架,由于App中的侧滑场景很多,我们项目中也就需要
Wesley13 Wesley13
3年前
2014百度校园招聘软件研发类笔试(深圳)
时间:2013年9月28日。地点:深圳职位:软件研发问答题:(10\3)1.动态链接库(DLL)与静态链接库(lib)的优缺点:静态链接库和动态链接库都是共享代码的方式,如果采用静态链接库,则无论你愿不愿意,lib中的指令都全部被直接包含在最终的EXE文件中,若使用DLL,该DLL不必被包含在最终的EXE中,EXE文件
Wesley13 Wesley13
3年前
信息安全
ylbtech信息安全攻击XSS:XSS/CSS攻击XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后
玩转云端 | 提升边缘应用交付效率,天翼云Serverless边缘容器有妙招
随着5G、物联网时代的到来,智能终端设备数量急剧增加,云计算能力不断向边缘侧、设备侧下沉,与此同时,针对边缘计算应用的高效、敏捷交付需求也随之产生。Serverless作为一种构建和管理基于微服务架构的技术,可实现部署应用无需涉及基础设施建设,自动