新攻擊利用Windows安全繞過 0 day 漏洞投放惡意軟件

新的網絡釣魚攻擊利用Windows 0 day 漏洞投放Qbot惡意軟件，而不顯示Web標記安全警告。

當文件從互聯網或電子郵件附件等不受信任的遠程位置下載時，Windows會給文件添加一個名為“Web標記”（Mark of the Web）的特殊屬性。

這個Web標記（MoTW）是一個備用數據流，含有關于該文件的信息，比如表明文件來源的URL安全區域、引用者以及下載URL。

當用戶試圖打開具有MoTW屬性的文件時，Windows會顯示安全警告，詢問用戶是否確定希望打開該文件。

來自Windows的警告顯示：“雖然來自互聯網的文件可能很有用，但這種文件類型可能會對你的電腦造成潛在的危害。如果你不信任來源，請不要打開該軟件。”

圖1. Windows Web標記安全警告（來源：BleepingComputer）

上個月惠普威脅情報團隊報告，一起網絡釣魚攻擊使用JavaScript文件分發Magniber勒索軟件。

這些JavaScript文件與網站上使用的那些文件不一樣，而是擴展名為“.JS”的獨立文件，可使用Windows腳本主機（wscript.exe）來執行。

ANALYGENCE的高級漏洞分析師Will DormannD在分析這些文件后發現，威脅分子使用了一個新的Windows 0 day 漏洞，該漏洞阻止了Web標記安全警告的顯示。

想要利用該漏洞，可以使用base64編碼的嵌入式簽名塊對JS文件（或其他類型的文件）進行簽名，微軟的這篇支持文章有詳細描述（https://learn.microsoft.com/en-us/previous-versions/tn-archive/ee176795(v=technet.10)?redirectedfrom=MSDN）。

圖2. 用于安裝Magniber勒索軟件的JavaScript文件（來源：BleepingComputer）

然而，當帶有這種畸形簽名的惡意文件被打開時，Windows自動允許該程序運行，而不是被微軟SmartScreen標記出來、顯示MoTW安全警告。

QBot惡意軟件活動利用Windows 0 day 漏洞

最近的QBot惡意網絡釣魚活動已經分發了含有ISO鏡像的由密碼保護的ZIP壓縮包。這些ISO鏡像含有用于安裝惡意軟件的Windows快捷方式和DLL。

ISO鏡像被用來分發惡意軟件，因為Windows沒有正確地將“Web標記”傳播到里面的文件中，從而允許含有的文件繞過Windows安全警告。

作為微軟2022年11月補丁的一部分，微軟已發布了修復這個錯誤的安全更新，促使MoTW標記傳播到打開的ISO鏡像中的所有文件，從而修復了這個安全繞過漏洞。

在安全研究人員ProxyLife發現的一起新的QBot網絡釣魚活動中，威脅分子通過分發帶有畸形簽名的JS文件，轉而利用這個Windows Web標記 0 day 漏洞。

這起新的網絡釣魚活動始于一封電子郵件，郵件中附有指向所謂文件的鏈接和文件的密碼。

圖3. 附有下載惡意壓縮包的鏈接的網絡釣魚電子郵件（來源：BleepingComputer）

點擊鏈接后，會下載一個受密碼保護的ZIP壓縮包，壓縮包含有另一個ZIP文件和一個IMG文件。

在Windows 10及更新版本中，雙擊IMG或ISO等磁盤鏡像文件后，操作系統會自動將其掛載為新的盤符。

該IMG文件含有一個.js文件（‘WW.js’）、一個文本文件（‘data.txt’）和另一個文件夾，該文件夾含有一個重命名為.tmp文件（‘likeblence .tmp’）的DLL文件，如下所示。值得一提的是，文件名會隨著每起活動而變，所以不應該被認為是靜態的。

圖4. 掛載的IMG文件（來源：BleepingComputer）

該JS文件含有VB腳本，腳本會讀取data.txt文件，這個文件含有‘vR32’字符串，并將內容附加到shellexecute命令的參數后面，以加載‘port/resemblance.tmp’DLL文件。在這封特定的郵件中，重構的命令如下：

regSvR32 port\\resemblance.tmp

圖5. JS文件帶有畸形簽名，可以利用Windows 0 day 漏洞（來源：BleepingComputer）

由于JS文件來自互聯網，在Windows中啟動它會顯示Web標記安全警告。

然而，從上面的JS腳本圖像中可以看到，它使用Magniber勒索軟件活動中使用的同一個畸形密鑰來簽名，以利用Windows 0 day 漏洞。

這個畸形的簽名允許JS腳本運行和加載QBot惡意軟件，而不顯示來自Windows的任何安全警告，如下面的啟動進程所示。

圖6. 啟動QBot DLL的Regsvr32.exe（來源：BleepingComputer）

經過一段短暫的時間后，惡意軟件加載程序將把QBot DLL注入到合法的Windows進程中，以逃避檢測，比如wermgr.exe或AtBroker.exe。

微軟從10月份以來就知道了這個 0 day 漏洞，鑒于其他惡意軟件活動在利用該漏洞，但愿該漏洞會在2022年12月補丁安全更新中得到修復。

QBot惡意軟件

QBot又叫Qakbot，是一種Windows惡意軟件，最初只是一種銀行木馬，但已演變為惡意軟件釋放器。

一旦加載，該惡意軟件將在后臺悄悄運行，同時竊取電子郵件用于其他網絡釣魚攻擊或安裝另外的攻擊載荷，比如Brute Ratel、Cobalt Strike及其他惡意軟件。

安裝Brute Ratel和Cobalt Strike后利用工具包通常會導致更具破壞性的攻擊，比如數據盜竊和勒索軟件攻擊。

在過去，Egregor和Prolock勒索軟件團伙與QBot分發團伙狼狽為奸，伺機訪問公司網絡。最近，繼QBot感染之后，網絡上出現了Black Basta勒索軟件攻擊。