QBot借助DLL侧载方式感染设备
发布时间:2022-07-30 15:31:35 所属栏目:安全 来源:互联网
导读:Windows7的DLL侧载缺陷近期被QBot恶意软件利用,攻击者通过Windows计算器在受感染的计算机上侧载恶意的有效载荷。 QBot(Qakbot)最初以银行软件木马起家,目前已经发展成为针对Windows平台的恶意软件投放器。在早期,Qakbot被勒索软件团伙用来投放Cobalt St
|
Windows7的DLL侧载缺陷近期被QBot恶意软件利用,攻击者通过Windows计算器在受感染的计算机上侧载恶意的有效载荷。 QBot(Qakbot)最初以银行软件木马起家,目前已经发展成为针对Windows平台的恶意软件投放器。在早期,Qakbot被勒索软件团伙用来投放Cobalt Strike信标。DLL侧载则是一种常见的攻击方法,它利用了Windows中处理动态链接库(DLLs)的方式。伪装成一个合法的DLL,并把其放在一个文件夹中,操作系统从那里加载虚假的DLL而不是合法的。 打开ZIP文件的密码显示在HTML文件中,而锁定存档的原因是为了逃避反病毒检测。 QBot垃圾邮件上的HTML附件 该ISO包含一个.LNK文件,一个'calc.exe'(Windows计算器)的副本,以及两个DLL文件,即WindowsCodecs.dll和一个名为7533.dll的有效载荷。 ZIP档案内容 当用户挂载ISO文件时,它只显示.LNK文件,该文件被伪装成持有重要信息的PDF文件或用Microsoft Edge浏览器打开的文件。 然而,从文件的属性对话框中可以看出,该快捷方式指向Windows中的计算器应用程序,点击快捷方式,通过命令提示符执行Calc.exe来触发感染。 触发感染的PDF文件的属性 当加载时,Windows 7计算器自动搜索并试图加载合法的WindowsCodecs DLL文件。然而,它没有检查某些硬编码路径中的DLL,如果与Calc.exe可执行文件放置在同一文件夹中,它将加载任何具有相同名称的DLL。 不过这个DLL侧载缺陷在Windows 10 Calc.exe及以后的版本中已经得到了解决,这就是攻击者只针对Windows 7版本的原因。 QBot已经存在了十多年,最早可以追溯到2009年,虽然QBot的相关活动并不频繁,但过去曾观察到它被Emotet僵尸网络散播,以投放勒索软件的有效载荷。 在QBot相关的勒索软件家族中,比较著名的有RansomExx、Maze、ProLock和Egregor。而Black Basta则是最近一次被投放的QBot勒索软件。 (编辑:云计算网_泰州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330476号