关于dll:Qakbot新型感染链使用Windows7系统侧加载感染设备

44次阅读

共计 2141 个字符,预计需要花费 6 分钟才能阅读完成。

前言:DLL 侧加载 (DLL side-loading) 是一种常见的攻打办法,也就是咱们常说的“白加黑”技术,它利用了 Windows 中解决动态链接库 (DLL) 的形式。Qakbot 恶意软件的开发者通过应用 Windows7 零碎在被感化的计算机上侧加载歹意负载,最终达到感化设施的成果。
近日,平安钻研人员 ProxyLife 发现,从往年 7 月 11 日开始 Qakbot 滥用 Windows 7 Calculator 应用程序进行 DLL 侧加载攻打。这种办法也被持续被用于歹意垃圾邮件流动。
Qakbot 恶意软件的开发者通过应用 Windows7 零碎在被感化的计算机上侧加载歹意负载,最终达到感化设施的成果。

DLL 侧加载 (DLL side-loading)
动静链接 DLL 是蕴含了若干个函数、类和资源的库文件。它能够被其余可执行文件 (如.EXE 文件和其它 DLL 文件) 动静调用。应用 DL 的第一个长处是使多个应用程序, 甚至是不同语言编写的应用程序能够共享一个 DL 文件, 真正实现了“资源共享”; 另一个长处是将 DL 文件作为应用程序一个独立的模块设计时, 能够进步软件的开发速度, 为软件降级提供了不便。

而 DLL 侧加载 (DLL side-loading) 是一种常见的攻打办法,也就是咱们常说的“白加黑”技术,它利用了 Windows 中解决动态链接库 (DLL) 的形式。DLL 侧加载 (DLL side-loading) 恶意软件通过坑骗一个非法的 DLL,会在 Windows 的 WinSxS 目录中搁置一个伪造的歹意 DLL 文件,以便操作系统加载它而不是非法文件。
DLL 侧加载攻打(DLL side-loading Attack)
通常在 Microsoft Windows 中,程序能够通过指定残缺门路或应用清单等其余机制来定义在运行时加载哪些库或文件夹。程序清单能够包含 DLL 重定向、文件名或残缺门路。因而,如果清单只援用了一个库文件名,它被视为弱援用并且容易受到 DLL 侧加载攻打。
DLL 侧加载攻打次要是利用弱库援用和 Windows 默认的搜寻程序,在零碎上搁置一个伪装成非法 DLL 的歹意 DLL 文件,非法程序将主动加载该文件。
DLL 侧加载通常会被勒索软件运营商应用,他们利用 DLL 侧加载来执行勒索软件有效载荷,以回避平安产品的检测。

Qakbot 病毒
Qakbot 病毒最开始是一种银行木马,受影响零碎为微软 Windows。Qakbot 最早被发现于 2009 年,依据微软的剖析,Qakbot 被认为是由网络立功组织 Gold Lagoon 创立的。
Qakbot 专门针对企业、银行、医疗、教育等机构进行弱小的信息窃取性能,并继续监控用户的银行流动以欺诈大量钱财。
近年来,Qakbot 发现了多个降级的变种,利用高级技术进行反检测与自我假装,试图躲过了杀毒软件检测。起初 Qakbot 演变成了恶意软件投递器,勒索软件团伙在攻打的晚期阶段应用它来投递攻打信标,造成了许多重大经济损失。
而且 Qakbot 交付的其它勒索软件包含 RansomExx、Maze、ProLock 和 Egregor,最近,还公布了 Black Basta 勒索软件。

Qakbot 新型感化链
那么 Qakbot 病毒是如何运行 DLL 侧加载 (DLL side-loading)?
为了进攻这种危险链接和攻打,ProxyLife 和 Cyble 的钻研人员记认真钻研和记录了新型的 Qakbot 感化链。
在最新的流动中应用的电子邮件带有一个 HTML 文件附件,该附件下载了一个有密码保护的 ZIP 压缩包,其中蕴含一个 ISO 文件。
关上 ZIP 文件的明码显示在 HTML 文件中,锁定存档的起因是为了规避反病毒软件的检测。
ISO 蕴含一个 lnk 文件,一个“calc.exe”(Windows 计算器)的正本,以及两个 DLL 文件,即 WindowsCodecs.dll 和一个名 7533.dll 的无效负载。

当用户挂载 ISO 文件时,它只显示 lnk 文件,该文件被伪装成有重要信息的 PDF 文件或应用 Microsoft Edge 浏览器关上的文件。
然而,在 Windows 中,快捷方式指向计算器应用程序。
单击快捷方式通过命令提示符执行 Calc.exe 最终就会触发感化。
Qakbot 恶意软件的新型感化链的关键在于感化文件会被伪装成其它文件。因为在加载时,Windows 7 零碎会主动搜寻并尝试加载非法的 WindowsCodecs DLL 文件。
然而,Windows 7 零碎不会查看某些硬编码门路中的 DLL,如果将 DLL 文件搁置在与 Calc.exe 可执行文件雷同的文件夹中,它将加载具备雷同名称的任何 DLL。
威逼者就是利用这个破绽,创立他们本人的歹意 WindowsCodecs.dll 文件,而后启动其它编号.dll 文件。

通过像 Windows 零碎程序安装 Qakbot 后,一些安全软件在加载恶意软件时则无奈检测出它,造成了这种威逼回避了安全软件检测。
然而有一点,此 DLL 侧加载破绽不适用于 Windows 10 Calc.exe 及当前版本,这也是威逼者会针对 Windows 7 版本的起因。
Qakbot 曾经有十多年的历史了,尽管投放这种病毒的流动并不频繁,然而依据记录,Emotet 僵尸网络已经通过分布这种病毒来投放勒索软件的有效载荷。
(局部音讯链接:https://www.bleepingcomputer….)

正文完
 0