可用

警惕!新的网络钓鱼攻击使用 Windows 安全绕过零日漏洞来投放恶意软件

  • 浏览次数 6419
  • 喜欢 0
  • 评分 12345

新的网络钓鱼攻击利用Windows零日漏洞在不显示Web安全警告标记的情况下投放Qbot 恶意软件。从不受信任的远程位置(如 Internet 或电子邮件附件)下载文件时,Windows 会向文件添加一个特殊属性,称为 Web 标记。

此Web标记 (MoTW) 是备用数据流,其中包含有关文件的信息,例如文件来源的URL安全区域 、其引荐来源网址及其下载URL。当用户尝试打开具有 MoTW 属性的文件时,Windows 将显示一条安全警告,询问他们是否确定要打开该文件。

Windows 的警告中写道:“虽然来自 Internet 的文件可能很有用,但这种文件类型可能会危害您的计算机。如果您不信任来源,请不要打开此软件。”

640

上个月,惠普威胁情报团队报告称,网络钓鱼攻击正在使用JavaScript文件分发Magniber 勒索软件。这些JavaScript 文件与网站上使用的文件不同,它们是使用 Windows 脚本宿主 (wscript.exe) 执行的带有“.JS”扩展名的独立文件。

在分析文件后,ANALYGENCE 的高级漏洞分析师 Will Dormann 发现威胁参与者正在使用一个新的Windows零日漏洞 ,该漏洞阻止显示 Web 标记安全警告。

要利用此漏洞,可以使用嵌入式 base64 编码的签名块对JS文件(或其他类型的文件)进行签名,如 Microsoft 支持文章中所述。

640 (1)

但是,当打开具有这些格式错误签名之一的恶意文件时 ,Windows 不会被 Microsoft SmartScreen标记 并显示 MoTW 安全警告,而是自动允许该程序运行。

QBot恶意软件活动使用Windows零日

最近的 QBot 恶意软件网络钓鱼活动分发了包含 ISO 映像的受密码保护的 ZIP 存档。这些 ISO 映像包含用于安装恶意软件的 Windows 快捷方式和 DLL。

ISO 映像被用来分发恶意软件,因为 Windows 没有正确地将 Web 标记传播到其中的文件,从而允许包含的文件绕过 Windows 安全警告。

作为Microsoft 2022年11月补丁星期二的一部分,发布了修复此错误的安全更新,导致 MoTW 标志传播到打开的 ISO 映像内的所有文件,修复了此安全绕过问题。

在安全研究人员 ProxyLife发现的新 QBot 网络钓鱼活动中,威胁行为者通过分发带有格式错误的签名的 JS 文件来切换到 Windows Mark of the Web 零日漏洞。这个新的网络钓鱼活动从一封电子邮件开始,其中包含指向涉嫌文件的链接和该文件的密码。

640 (2)

单击该链接时,将下载一个受密码保护的 ZIP 存档,其中包含另一个 zip 文件,后跟一个 IMG 文件。在 Windows 10 及更高版本中,当双击磁盘映像文件(如 IMG 或 ISO)时,操作系统会自动将其挂载为新的盘符。

此 IMG 文件包含一个 .js 文件(“WW.js”)、一个文本文件(“data.txt”)和另一个包含重命名为 .tmp 文件的 DLL 文件的文件夹(“resemblance.tmp”)[ VirusTotal】,如下图。应该注意的是,文件名会因活动而异,因此不应将其视为静态的。

640 (3)

JS文件包含 VB 脚本,该脚本将读取包含“vR32”字符串的 data.txt 文件,并将内容附加到 shellexecute 命令的参数以加载“port/resemblance.tmp”DLL 文件。在这封特定的电子邮件中,重建的命令是:

640 (4)

由于 JS 文件来自 Internet,因此在 Windows 中启动它会显示 Web 安全警告标记。

但是,正如您从上面的 JS 脚本图像中看到的那样,它使用与 Magniber 勒索软件活动中使用的格式相同的畸形密钥进行签名,以利用 Windows 零日漏洞。

这种格式错误的签名允许 JS 脚本运行和加载 QBot 恶意软件,而不会显示来自 Windows 的任何安全警告,如下面启动的进程所示。

640 (5)

短时间后,恶意软件加载程序会将 QBot DLL 注入合法的 Windows 进程以逃避检测,例如 wermgr.exe 或 AtBroker.exe。

自10月以来,Microsoft 就知道了这个零日漏洞,现在其他恶意软件活动正在利用它,我们希望在 2022 年 12 月补丁星期二安全更新中看到该漏洞得到修复。

QBot 恶意软件

QBot,也称为 Qakbot,是一种 Windows 恶意软件,最初是作为银行木马开发的,但后来发展成为恶意软件植入程序。一旦加载,该恶意软件将在后台悄悄运行,同时窃取电子邮件用于其他网络钓鱼攻击或安装其他有效负载,如 Brute Ratel、 Cobalt Strike和 其他恶意软件。

安装 Brute Ratel 和 Cobalt Strike 后开发工具包通常会导致更具破坏性的攻击,例如数据盗窃和勒索软件攻击。

过去,Egregor 和 Prolock 勒索软件运营与 QBot 分销商合作以获得对公司网络的访问权限。最近, 在 QBot 感染后网络上出现了Black Basta勒索软件攻击。


转自 E安全,原文链接:https://mp.weixin.qq.com/s/GSQ6W_nFDlWcRknl4hnb_Q

封面来源于网络,如有侵权请联系删除