您所在的位置: 首頁 >
安全研究 >
安全通告 >
新的網(wǎng)絡(luò)釣魚攻擊使用 Windows 安全繞
新的網(wǎng)絡(luò)釣魚攻擊使用 Windows 安全繞過零日漏洞來投放惡意軟件
新的網(wǎng)絡(luò)釣魚攻擊利用Windows零日漏洞在不顯示W(wǎng)eb安全警告標(biāo)記的情況下投放Qbot 惡意軟件。從不受信任的遠(yuǎn)程位置(如 Internet 或電子郵件附件)下載文件時(shí),Windows 會(huì)向文件添加一個(gè)特殊屬性,稱為 Web 標(biāo)記。
此Web標(biāo)記 (MoTW) 是備用數(shù)據(jù)流,其中包含有關(guān)文件的信息,例如文件來源的URL安全區(qū)域 、其引薦來源網(wǎng)址及其下載URL。當(dāng)用戶嘗試打開具有 MoTW 屬性的文件時(shí),Windows 將顯示一條安全警告,詢問他們是否確定要打開該文件。
Windows 的警告中寫道:“雖然來自 Internet 的文件可能很有用,但這種文件類型可能會(huì)危害您的計(jì)算機(jī)。如果您不信任來源,請不要打開此軟件?!?/span>
上個(gè)月,惠普威脅情報(bào)團(tuán)隊(duì)報(bào)告稱,網(wǎng)絡(luò)釣魚攻擊正在使用JavaScript文件分發(fā)Magniber 勒索軟件。這些JavaScript 文件與網(wǎng)站上使用的文件不同,它們是使用 Windows 腳本宿主 (wscript.exe) 執(zhí)行的帶有“.JS”擴(kuò)展名的獨(dú)立文件。
在分析文件后,ANALYGENCE 的高級漏洞分析師 Will Dormann 發(fā)現(xiàn)威脅參與者正在使用一個(gè)新的Windows零日漏洞 ,該漏洞阻止顯示 Web 標(biāo)記安全警告。
要利用此漏洞,可以使用嵌入式 base64 編碼的簽名塊對JS文件(或其他類型的文件)進(jìn)行簽名,如 Microsoft 支持文章中所述。
但是,當(dāng)打開具有這些格式錯(cuò)誤簽名之一的惡意文件時(shí) ,Windows 不會(huì)被 Microsoft SmartScreen標(biāo)記 并顯示 MoTW 安全警告,而是自動(dòng)允許該程序運(yùn)行。
QBot惡意軟件活動(dòng)使用Windows零日
最近的 QBot 惡意軟件網(wǎng)絡(luò)釣魚活動(dòng)分發(fā)了包含 ISO 映像的受密碼保護(hù)的 ZIP 存檔。這些 ISO 映像包含用于安裝惡意軟件的 Windows 快捷方式和 DLL。
ISO 映像被用來分發(fā)惡意軟件,因?yàn)?Windows 沒有正確地將 Web 標(biāo)記傳播到其中的文件,從而允許包含的文件繞過 Windows 安全警告。
作為Microsoft 2022年11月補(bǔ)丁星期二的一部分,發(fā)布了修復(fù)此錯(cuò)誤的安全更新,導(dǎo)致 MoTW 標(biāo)志傳播到打開的 ISO 映像內(nèi)的所有文件,修復(fù)了此安全繞過問題。
在安全研究人員 ProxyLife發(fā)現(xiàn)的新 QBot 網(wǎng)絡(luò)釣魚活動(dòng)中,威脅行為者通過分發(fā)帶有格式錯(cuò)誤的簽名的 JS 文件來切換到 Windows Mark of the Web 零日漏洞。這個(gè)新的網(wǎng)絡(luò)釣魚活動(dòng)從一封電子郵件開始,其中包含指向涉嫌文件的鏈接和該文件的密碼。
單擊該鏈接時(shí),將下載一個(gè)受密碼保護(hù)的 ZIP 存檔,其中包含另一個(gè) zip 文件,后跟一個(gè) IMG 文件。在 Windows 10 及更高版本中,當(dāng)雙擊磁盤映像文件(如 IMG 或 ISO)時(shí),操作系統(tǒng)會(huì)自動(dòng)將其掛載為新的盤符。
此 IMG 文件包含一個(gè) .js 文件(“WW.js”)、一個(gè)文本文件(“data.txt”)和另一個(gè)包含重命名為 .tmp 文件的 DLL 文件的文件夾(“resemblance.tmp”)[ VirusTotal】,如下圖。應(yīng)該注意的是,文件名會(huì)因活動(dòng)而異,因此不應(yīng)將其視為靜態(tài)的。
JS文件包含 VB 腳本,該腳本將讀取包含“vR32”字符串的 data.txt 文件,并將內(nèi)容附加到 shellexecute 命令的參數(shù)以加載“port/resemblance.tmp”DLL 文件。在這封特定的電子郵件中,重建的命令是:
由于 JS 文件來自 Internet,因此在 Windows 中啟動(dòng)它會(huì)顯示 Web 安全警告標(biāo)記。
但是,正如您從上面的 JS 腳本圖像中看到的那樣,它使用與 Magniber 勒索軟件活動(dòng)中使用的格式相同的畸形密鑰進(jìn)行簽名,以利用 Windows 零日漏洞。
這種格式錯(cuò)誤的簽名允許 JS 腳本運(yùn)行和加載 QBot 惡意軟件,而不會(huì)顯示來自 Windows 的任何安全警告,如下面啟動(dòng)的進(jìn)程所示。
短時(shí)間后,惡意軟件加載程序會(huì)將 QBot DLL 注入合法的 Windows 進(jìn)程以逃避檢測,例如 wermgr.exe 或 AtBroker.exe。
自10月以來,Microsoft 就知道了這個(gè)零日漏洞,現(xiàn)在其他惡意軟件活動(dòng)正在利用它,我們希望在 2022 年 12 月補(bǔ)丁星期二安全更新中看到該漏洞得到修復(fù)。
QBot 惡意軟件
QBot,也稱為 Qakbot,是一種 Windows 惡意軟件,最初是作為銀行木馬開發(fā)的,但后來發(fā)展成為惡意軟件植入程序。一旦加載,該惡意軟件將在后臺(tái)悄悄運(yùn)行,同時(shí)竊取電子郵件用于其他網(wǎng)絡(luò)釣魚攻擊或安裝其他有效負(fù)載,如 Brute Ratel、 Cobalt Strike和 其他惡意軟件。
安裝 Brute Ratel 和 Cobalt Strike 后開發(fā)工具包通常會(huì)導(dǎo)致更具破壞性的攻擊,例如數(shù)據(jù)盜竊和勒索軟件攻擊。
過去,Egregor 和 Prolock 勒索軟件運(yùn)營與 QBot 分銷商合作以獲得對公司網(wǎng)絡(luò)的訪問權(quán)限。最近, 在 QBot 感染后網(wǎng)絡(luò)上出現(xiàn)了Black Basta勒索軟件攻擊。
來源:E安全