Windows7的DLL侧载缺陷最近被QBot恶意软件利用。攻击者通过Windows计算机将恶意负载旁加载到受感染的计算机上。QBot(Qakbot)最初是作为银行软件木马起家的,现在已经发展成为针对Windows平台的恶意软件投放器。早期,勒索软件团伙使用Qakbot来投放CobaltStrike信标。DLLsideloading是一种常见的攻击方法,它利用Windows处理动态链接库(DLL)的方式。伪装成合法的DLL,并将其放在操作系统从中加载虚假DLL而不是合法DLL的文件夹中。安全研究人员ProxyLife最近发现,至少从7月11日起,Qakbot一直在滥用Windows7计算器应用程序进行DLL侧载攻击,并被用于正在进行的恶意广告活动。为了帮助用户抵御这种威胁,ProxyLife和Cyble的研究人员记录了最新的QBot感染链。最新活动中使用的电子邮件有一个HTML文件附件,可下载包含ISO文件的受密码保护的ZIP存档。打开ZIP文件的密码显示在HTML文件中,锁定存档的原因是为了逃避防病毒检测。QBot垃圾邮件上的HTML附件该ISO包含一个.LNK文件、一个“calc.exe”(Windows计算器)的副本和两个DLL文件、WindowsCodecs.dll和一个名为7533.dll的有效负载。ZIP压缩文件内容当用户加载ISO文件时,它只显示.LNK文件,它伪装成包含重要信息的PDF文件或使用MicrosoftEdge浏览器打开的文件。但是,从文件的属性对话框中可以看出,快捷方式指向Windows中的Calculator应用程序,单击该快捷方式会通过命令提示符执行Calc.exe来触发感染。触发感染的PDF文件的属性加载时,Windows7计算器会自动搜索并尝试加载合法的WindowsCodecsDLL文件。但是,它不会检查某些硬编码路径中的DLL,如果与Calc.exe可执行文件放在同一文件夹中,它将加载任何同名的DLL。威胁参与者利用此漏洞创建他们自己的恶意WindowsCodecs.dll文件,该文件会启动其他[number].dll文件,即QBot恶意软件。通过WindowsCalculator等受信任的程序安装QBot,某些安全软件很可能无法检测到它,从而让恶意程序逃避检测。但是,这个DLL侧载漏洞在Windows10Calc.exe及更高版本中已经得到解决,这也是攻击者只针对Windows7版本的原因。QBot已经存在了十多年,最早可以追溯到2009年,虽然与QBot相关的活动并不常见,但过去曾观察到它由Emotet僵尸网络分发以投放勒索软件负载。在与QBot相关的勒索软件家族中,比较著名的有RansomExx、Maze、ProLock和Egregor。BlackBasta是最新发布的QBot勒索软件。
