QBot经过DLL侧载模式感化设施
Windows7的DLL侧载毛病近期被QBot恶意软件应用,攻打者经过Windows计算器在受感化的计算机上侧载恶意的有效载荷。
QBot(Qakbot)最后以银行软件木马起家,目前曾经开展成为针对Windows平台的恶意软件投放器。在早期,Qakbot被敲诈软件团伙用来投放Cobalt Strike信标。DLL侧载则是一种经常出现的攻打方法,它应用了Windows中处置灵活链接库(DLLs)的模式。伪装成一个非法的DLL,并把其放在一个文件夹中,操作系统从那里加载虚伪的DLL而不是非法的。
安保钻研人员ProxyLife最近发现,至少从7月11日起,Qakbot就不时在滥用Windows 7计算器运行程序启动DLL侧载攻打,并继续用于恶意广告优惠中。
为了协助用户防范这种要挟,ProxyLife和Cyble的钻研人员记载了最新的QBot感化链。
最新攻打优惠中经常使用的电子邮件带有一个HTML文件附件,下载一个有明码包全的ZIP档案,外面有一个ISO文件。
关上ZIP文件的明码显示在HTML文件中,而锁定存档的要素是为了回避反病毒检测。
QBot渣滓邮件上的HTML附件
该ISO蕴含一个.LNK文件,一个'calc.exe'(Windows计算器)的正本,以及两个DLL文件,即WindowsCodecs.dll和一个名为7533.dll的有效载荷。
ZIP档案内容
当用户挂载ISO文件时,它只显示.LNK文件,该文件被伪装成持有关键消息的PDF文件或用Microsoft Edge阅读器关上的文件。
但是,从文件的属性对话框中可以看出,该快捷模式指向Windows中的计算器运行程序,点击快捷模式,经过命令揭示符口头Calc.exe来触发感化。
触发感化的PDF文件的属性
当加载时,Windows 7计算器智能搜查并试图加载非法的WindowsCodecs DLL文件。但是,它没有审核某些硬编码门路中的DLL,假设与Calc.exe可口头文件搁置在同一文件夹中,它将加载任何具备相反称号的DLL。
要挟者应用这一毛病,创立自己的恶意WindowsCodecs.dll文件,启动其余[编号].dll文件,这就是QBot恶意软件。
经过像Windows Calculator这样的可信程序装置QBot,一些安保软件就很有或者检测不到它,从而使恶意程序回避检测。
不过这个DLL侧载毛病在Windows 10 Calc.exe及的版本中曾经失掉了处置,这就是攻打者只针对Windows 7版本的要素。
QBot曾经存在了十多年,最早可以追溯到2009年,只管QBot的关系优惠并不频繁,但过去曾观察到它被Emotet僵尸网络散播,以投放敲诈软件的有效载荷。
在QBot关系的敲诈软件家族中,比拟驰名的有RansomExx、Maze、ProLock和Egregor。而Black Basta则是最近一次性被投放的QBot敲诈软件。