新网络钓鱼攻击利用Windows0-day漏洞投放Qbot恶意软件而不显示web标志安全警告。当从不受信任的远程位置(如Internet或电子邮件附件)下载文件时,Windows会向该文件添加一个称为“Web标记”的特殊属性。Web标记(MoTW)是一种备用数据流,其中包含有关文件的信息,例如指示文件来源、引荐来源网址和下载URL的URL安全区域。当用户尝试打开具有MoTW属性的文件时,Windows会显示一条安全警告,询问用户是否确定要打开该文件。来自Windows的警告内容如下:“虽然来自Internet的文件可能有用,但此文件类型可能对您的PC造成潜在危害。如果您不信任来源,请不要打开此软件。”图1.WindowsWebFlag安全警告(来源:BleepingComputer)上个月,惠普威胁情报团队报告了一次使用JavaScript文件分发Magniber勒索软件的网络钓鱼攻击。这些JavaScript文件与网站上使用的文件不同,而是带有“.JS”扩展名的独立文件,可以使用Windows脚本宿主(wscript.exe)执行。ANALYGENCE的高级漏洞分析师WillDormannD对这些文件的分析表明,威胁行为者使用了一种新的Windows0-day漏洞利用来阻止显示web标志安全警告。要利用此漏洞,可以使用base64编码的嵌入式签名块对JS文件(或其他类型的文件)进行签名,如这篇Microsoft支持文章(https://learn.microsoft.com/en-us/previous)中所述-versions/tn-archive/ee176795(v=technet.10)?redirectedfrom=MSDN)。图2.用于安装Magniber勒索软件的JavaScript文件(来源:BleepingComputer)然而,当打开带有这种畸形签名的恶意文件时,Windows会自动允许该程序运行,而不是被显示MoTW安全警告的MicrosoftSmartScreen标记。QBot恶意软件活动利用Windows0-day漏洞最近的QBot恶意网络钓鱼活动分发了包含ISO映像的受密码保护的ZIP存档。这些ISO映像包含用于安装恶意软件的Windows快捷方式和DLL。ISO映像被用来分发恶意软件,因为Windows没有正确地将“网络标签”传播到内部文件,从而允许包含的文件绕过Windows安全警告。作为微软2022年11月补丁的一部分,微软发布了一个安全更新来修复这个漏洞,导致MoTW标志传播到打开的ISO映像中的所有文件,从而修复这个安全绕过漏洞。在安全研究人员ProxyLife发现的新QBot网络钓鱼活动中,威胁行为者已转向通过分发具有格式错误的签名的JS文件来利用此WindowsWeb令牌零日漏洞。新的网络钓鱼活动始于一封电子邮件,其中包含指向所谓文件的链接和文件密码。图3.带有下载恶意存档链接的网络钓鱼电子邮件(来源:BleepingComputer)。单击该链接会下载一个受密码保护的ZIP存档,其中包含另一个ZIP文件和一个IMG文件。在Windows10及更新版本中,双击IMG或ISO等磁盘映像文件后,操作系统会自动将其挂载为新盘符。img文件包含一个.js文件('WW.js')、一个文本文件('data.txt')和另一个包含重命名的.tmp文件('likeblence.tmp')DLL文件的文件夹,如下所示。值得一提的是,文件名会随着每次活动而变化,因此不应将其视为静态的。图4.挂载的IMG文件(来源:BleepingComputer)这个JS文件包含一个VB脚本,该脚本会读取data.txt文件,这个文件包含'vR32'字符串,并将内容追加到shellexecute命令的参数中去加载“port/resemblance.tmp”DLL文件。在这封邮件中,重构后的命令如下:regSvR32port\\resemblance.tmp图5.JS文件签名格式错误,可利用Windows0day漏洞(来源:BleepingComputer)由于JS文件来源于网络,在Windows中启动它会显示一个web标记安全警告。但是,正如您在上面的JS脚本图像中看到的那样,它使用Magniber勒索软件活动中使用的相同格式错误密钥进行签名,以利用Windows0-day漏洞。这种格式错误的签名允许JS脚本运行和加载QBot恶意软件,而不会显示来自Windows的任何安全警告,如下面的启动过程所示。图6.Regsvr32.exe启动QBotDLL(来源:BleepingComputer)短时间后,恶意软件加载程序会将QBotDLL注入合法的Windows进程以逃避检测,例如wermgr.exe或AtBroker.exe。微软从10月就知道了这个零日漏洞,鉴于其他恶意软件活动正在利用它,希望它能在2022年12月的补丁安全更新中得到修复。QBot恶意软件QBot,也称为Qakbot,是一种Windows恶意软件,最初是一种银行木马,但现已演变成恶意软件植入程序。一旦加载,该恶意软件将在后台安静运行,同时窃取电子邮件用于其他网络钓鱼攻击或安装额外的有效负载,如BruteRatel、CobaltStrike和其他恶意软件。BruteRatel和CobaltStrike后开发工具包通常会导致更具破坏性的攻击,例如数据盗窃和勒索软件攻击。过去,Egregor和Prolock勒索软件团伙与QBot分发团伙合作,以获取对公司网络的访问权限。近期,继QBot感染后,网络上又出现了BlackBasta勒索软件攻击事件。本文翻译自:https://www.bleepingcomputer.com/news/security/new-attacks-use-windows-security-bypass-zero-day-to-drop-malware/
