Windows7的DLL側(cè)載缺陷近期被QBot惡意軟件利用，攻擊者通過Windows計算器在受感染的計算機上側(cè)載惡意的有效載荷。

QBot（Qakbot）最初以銀行軟件木馬起家，目前已經(jīng)發(fā)展成為針對Windows平臺的惡意軟件投放器。在早期，Qakbot被勒索軟件團伙用來投放Cobalt Strike信標(biāo)。DLL側(cè)載則是一種常見的攻擊方法，它利用了Windows中處理動態(tài)鏈接庫（DLLs）的方式。偽裝成一個合法的DLL，并把其放在一個文件夾中，操作系統(tǒng)從那里加載虛假的DLL而不是合法的。

安全研究人員ProxyLife最近發(fā)現(xiàn)，至少從7月11日起，Qakbot就一直在濫用Windows 7計算器應(yīng)用程序進行DLL側(cè)載攻擊，并持續(xù)用于惡意廣告活動中。

為了幫助用戶防范這種威脅，ProxyLife和Cyble的研究人員記錄了最新的QBot感染鏈。

最新攻擊活動中使用的電子郵件帶有一個HTML文件附件，下載一個有密碼保護的ZIP檔案，里面有一個ISO文件。

打開ZIP文件的密碼顯示在HTML文件中，而鎖定存檔的原因是為了逃避反病毒檢測。

QBot垃圾郵件上的HTML附件

該ISO包含一個.LNK文件，一個'calc.exe'（Windows計算器）的副本，以及兩個DLL文件，即WindowsCodecs.dll和一個名為7533.dll的有效載荷。

ZIP檔案內(nèi)容

當(dāng)用戶掛載ISO文件時，它只顯示.LNK文件，該文件被偽裝成持有重要信息的PDF文件或用Microsoft Edge瀏覽器打開的文件。

然而，從文件的屬性對話框中可以看出，該快捷方式指向Windows中的計算器應(yīng)用程序，點擊快捷方式，通過命令提示符執(zhí)行Calc.exe來觸發(fā)感染。

觸發(fā)感染的PDF文件的屬性

當(dāng)加載時，Windows 7計算器自動搜索并試圖加載合法的WindowsCodecs DLL文件。然而，它沒有檢查某些硬編碼路徑中的DLL，如果與Calc.exe可執(zhí)行文件放置在同一文件夾中，它將加載任何具有相同名稱的DLL。

威脅者利用這一缺陷，創(chuàng)建自己的惡意WindowsCodecs.dll文件，啟動其他[編號].dll文件，這就是QBot惡意軟件。

通過像Windows Calculator這樣的可信程序安裝QBot，一些安全軟件就很有可能檢測不到它，從而使惡意程序逃避檢測。

不過這個DLL側(cè)載缺陷在Windows 10 Calc.exe及以后的版本中已經(jīng)得到了解決，這就是攻擊者只針對Windows 7版本的原因。

QBot已經(jīng)存在了十多年，最早可以追溯到2009年，雖然QBot的相關(guān)活動并不頻繁，但過去曾觀察到它被Emotet僵尸網(wǎng)絡(luò)散播，以投放勒索軟件的有效載荷。

在QBot相關(guān)的勒索軟件家族中，比較著名的有RansomExx、Maze、ProLock和Egregor。而Black Basta則是最近一次被投放的QBot勒索軟件。