新攻擊利用Windows安全繞過 0 day 漏洞投放惡意軟件
新的網絡釣魚攻擊利用Windows 0 day 漏洞投放Qbot惡意軟件,而不顯示Web標記安全警告。
當文件從互聯網或電子郵件附件等不受信任的遠程位置下載時,Windows會給文件添加一個名為“Web標記”(Mark of the Web)的特殊屬性。
這個Web標記(MoTW)是一個備用數據流,含有關于該文件的信息,比如表明文件來源的URL安全區域、引用者以及下載URL。
當用戶試圖打開具有MoTW屬性的文件時,Windows會顯示安全警告,詢問用戶是否確定希望打開該文件。
來自Windows的警告顯示:“雖然來自互聯網的文件可能很有用,但這種文件類型可能會對你的電腦造成潛在的危害。如果你不信任來源,請不要打開該軟件。”
圖1. Windows Web標記安全警告(來源:BleepingComputer)
上個月惠普威脅情報團隊報告,一起網絡釣魚攻擊使用JavaScript文件分發Magniber勒索軟件。
這些JavaScript文件與網站上使用的那些文件不一樣,而是擴展名為“.JS”的獨立文件,可使用Windows腳本主機(wscript.exe)來執行。
ANALYGENCE的高級漏洞分析師Will DormannD在分析這些文件后發現,威脅分子使用了一個新的Windows 0 day 漏洞,該漏洞阻止了Web標記安全警告的顯示。
想要利用該漏洞,可以使用base64編碼的嵌入式簽名塊對JS文件(或其他類型的文件)進行簽名,微軟的這篇支持文章有詳細描述(https://learn.microsoft.com/en-us/previous-versions/tn-archive/ee176795(v=technet.10)?redirectedfrom=MSDN)。
圖2. 用于安裝Magniber勒索軟件的JavaScript文件(來源:BleepingComputer)
然而,當帶有這種畸形簽名的惡意文件被打開時,Windows自動允許該程序運行,而不是被微軟SmartScreen標記出來、顯示MoTW安全警告。
QBot惡意軟件活動利用Windows 0 day 漏洞
最近的QBot惡意網絡釣魚活動已經分發了含有ISO鏡像的由密碼保護的ZIP壓縮包。這些ISO鏡像含有用于安裝惡意軟件的Windows快捷方式和DLL。
ISO鏡像被用來分發惡意軟件,因為Windows沒有正確地將“Web標記”傳播到里面的文件中,從而允許含有的文件繞過Windows安全警告。
作為微軟2022年11月補丁的一部分,微軟已發布了修復這個錯誤的安全更新,促使MoTW標記傳播到打開的ISO鏡像中的所有文件,從而修復了這個安全繞過漏洞。
在安全研究人員ProxyLife發現的一起新的QBot網絡釣魚活動中,威脅分子通過分發帶有畸形簽名的JS文件,轉而利用這個Windows Web標記 0 day 漏洞。
這起新的網絡釣魚活動始于一封電子郵件,郵件中附有指向所謂文件的鏈接和文件的密碼。
圖3. 附有下載惡意壓縮包的鏈接的網絡釣魚電子郵件(來源:BleepingComputer)
點擊鏈接后,會下載一個受密碼保護的ZIP壓縮包,壓縮包含有另一個ZIP文件和一個IMG文件。
在Windows 10及更新版本中,雙擊IMG或ISO等磁盤鏡像文件后,操作系統會自動將其掛載為新的盤符。
該IMG文件含有一個.js文件(‘WW.js’)、一個文本文件(‘data.txt’)和另一個文件夾,該文件夾含有一個重命名為.tmp文件(‘likeblence .tmp’)的DLL文件,如下所示。值得一提的是,文件名會隨著每起活動而變,所以不應該被認為是靜態的。
圖4. 掛載的IMG文件(來源:BleepingComputer)
該JS文件含有VB腳本,腳本會讀取data.txt文件,這個文件含有‘vR32’字符串,并將內容附加到shellexecute命令的參數后面,以加載‘port/resemblance.tmp’DLL文件。在這封特定的郵件中,重構的命令如下:
regSvR32 port\\resemblance.tmp
圖5. JS文件帶有畸形簽名,可以利用Windows 0 day 漏洞(來源:BleepingComputer)
由于JS文件來自互聯網,在Windows中啟動它會顯示Web標記安全警告。
然而,從上面的JS腳本圖像中可以看到,它使用Magniber勒索軟件活動中使用的同一個畸形密鑰來簽名,以利用Windows 0 day 漏洞。
這個畸形的簽名允許JS腳本運行和加載QBot惡意軟件,而不顯示來自Windows的任何安全警告,如下面的啟動進程所示。
圖6. 啟動QBot DLL的Regsvr32.exe(來源:BleepingComputer)
經過一段短暫的時間后,惡意軟件加載程序將把QBot DLL注入到合法的Windows進程中,以逃避檢測,比如wermgr.exe或AtBroker.exe。
微軟從10月份以來就知道了這個 0 day 漏洞,鑒于其他惡意軟件活動在利用該漏洞,但愿該漏洞會在2022年12月補丁安全更新中得到修復。
QBot惡意軟件
QBot又叫Qakbot,是一種Windows惡意軟件,最初只是一種銀行木馬,但已演變為惡意軟件釋放器。
一旦加載,該惡意軟件將在后臺悄悄運行,同時竊取電子郵件用于其他網絡釣魚攻擊或安裝另外的攻擊載荷,比如Brute Ratel、Cobalt Strike及其他惡意軟件。
安裝Brute Ratel和Cobalt Strike后利用工具包通常會導致更具破壞性的攻擊,比如數據盜竊和勒索軟件攻擊。
在過去,Egregor和Prolock勒索軟件團伙與QBot分發團伙狼狽為奸,伺機訪問公司網絡。最近,繼QBot感染之后,網絡上出現了Black Basta勒索軟件攻擊。
本文翻譯自:https://www.bleepingcomputer.com/news/security/new-attacks-use-windows-security-bypass-zero-day-to-drop-malware/
