新的網(wǎng)絡(luò)釣魚攻擊利用Windows 0 day 漏洞投放Qbot惡意軟件，而不顯示W(wǎng)eb標(biāo)記安全警告。

當(dāng)文件從互聯(lián)網(wǎng)或電子郵件附件等不受信任的遠(yuǎn)程位置下載時，Windows會給文件添加一個名為“Web標(biāo)記”（Mark of the Web）的特殊屬性。

這個Web標(biāo)記（MoTW）是一個備用數(shù)據(jù)流，含有關(guān)于該文件的信息，比如表明文件來源的URL安全區(qū)域、引用者以及下載URL。

當(dāng)用戶試圖打開具有MoTW屬性的文件時，Windows會顯示安全警告，詢問用戶是否確定希望打開該文件。

來自Windows的警告顯示：“雖然來自互聯(lián)網(wǎng)的文件可能很有用，但這種文件類型可能會對你的電腦造成潛在的危害。如果你不信任來源，請不要打開該軟件?！?/p>

圖1. Windows Web標(biāo)記安全警告（來源：BleepingComputer）

上個月惠普威脅情報團(tuán)隊報告，一起網(wǎng)絡(luò)釣魚攻擊使用JavaScript文件分發(fā)Magniber勒索軟件。

這些JavaScript文件與網(wǎng)站上使用的那些文件不一樣，而是擴(kuò)展名為“.JS”的獨立文件，可使用Windows腳本主機(jī)（wscript.exe）來執(zhí)行。

ANALYGENCE的高級漏洞分析師Will DormannD在分析這些文件后發(fā)現(xiàn)，威脅分子使用了一個新的Windows 0 day 漏洞，該漏洞阻止了Web標(biāo)記安全警告的顯示。

想要利用該漏洞，可以使用base64編碼的嵌入式簽名塊對JS文件（或其他類型的文件）進(jìn)行簽名，微軟的這篇支持文章有詳細(xì)描述（https://learn.microsoft.com/en-us/previous-versions/tn-archive/ee176795(v=technet.10)?redirectedfrom=MSDN）。

圖2. 用于安裝Magniber勒索軟件的JavaScript文件（來源：BleepingComputer）

然而，當(dāng)帶有這種畸形簽名的惡意文件被打開時，Windows自動允許該程序運(yùn)行，而不是被微軟SmartScreen標(biāo)記出來、顯示MoTW安全警告。

QBot惡意軟件活動利用Windows 0 day 漏洞

最近的QBot惡意網(wǎng)絡(luò)釣魚活動已經(jīng)分發(fā)了含有ISO鏡像的由密碼保護(hù)的ZIP壓縮包。這些ISO鏡像含有用于安裝惡意軟件的Windows快捷方式和DLL。

ISO鏡像被用來分發(fā)惡意軟件，因為Windows沒有正確地將“Web標(biāo)記”傳播到里面的文件中，從而允許含有的文件繞過Windows安全警告。

作為微軟2022年11月補(bǔ)丁的一部分，微軟已發(fā)布了修復(fù)這個錯誤的安全更新，促使MoTW標(biāo)記傳播到打開的ISO鏡像中的所有文件，從而修復(fù)了這個安全繞過漏洞。

在安全研究人員ProxyLife發(fā)現(xiàn)的一起新的QBot網(wǎng)絡(luò)釣魚活動中，威脅分子通過分發(fā)帶有畸形簽名的JS文件，轉(zhuǎn)而利用這個Windows Web標(biāo)記 0 day 漏洞。

這起新的網(wǎng)絡(luò)釣魚活動始于一封電子郵件，郵件中附有指向所謂文件的鏈接和文件的密碼。

圖3. 附有下載惡意壓縮包的鏈接的網(wǎng)絡(luò)釣魚電子郵件（來源：BleepingComputer）

點擊鏈接后，會下載一個受密碼保護(hù)的ZIP壓縮包，壓縮包含有另一個ZIP文件和一個IMG文件。

在Windows 10及更新版本中，雙擊IMG或ISO等磁盤鏡像文件后，操作系統(tǒng)會自動將其掛載為新的盤符。

該IMG文件含有一個.js文件（‘WW.js’）、一個文本文件（‘data.txt’）和另一個文件夾，該文件夾含有一個重命名為.tmp文件（‘likeblence .tmp’）的DLL文件，如下所示。值得一提的是，文件名會隨著每起活動而變，所以不應(yīng)該被認(rèn)為是靜態(tài)的。

圖4. 掛載的IMG文件（來源：BleepingComputer）

該JS文件含有VB腳本，腳本會讀取data.txt文件，這個文件含有‘vR32’字符串，并將內(nèi)容附加到shellexecute命令的參數(shù)后面，以加載‘port/resemblance.tmp’DLL文件。在這封特定的郵件中，重構(gòu)的命令如下：

regSvR32 port\\resemblance.tmp

圖5. JS文件帶有畸形簽名，可以利用Windows  0 day 漏洞（來源：BleepingComputer）

由于JS文件來自互聯(lián)網(wǎng)，在Windows中啟動它會顯示W(wǎng)eb標(biāo)記安全警告。

然而，從上面的JS腳本圖像中可以看到，它使用Magniber勒索軟件活動中使用的同一個畸形密鑰來簽名，以利用Windows 0 day 漏洞。

這個畸形的簽名允許JS腳本運(yùn)行和加載QBot惡意軟件，而不顯示來自Windows的任何安全警告，如下面的啟動進(jìn)程所示。

圖6. 啟動QBot DLL的Regsvr32.exe（來源：BleepingComputer）

經(jīng)過一段短暫的時間后，惡意軟件加載程序?qū)裃Bot DLL注入到合法的Windows進(jìn)程中，以逃避檢測，比如wermgr.exe或AtBroker.exe。

微軟從10月份以來就知道了這個 0 day 漏洞，鑒于其他惡意軟件活動在利用該漏洞，但愿該漏洞會在2022年12月補(bǔ)丁安全更新中得到修復(fù)。

QBot惡意軟件

QBot又叫Qakbot，是一種Windows惡意軟件，最初只是一種銀行木馬，但已演變?yōu)閻阂廛浖尫牌鳌?/p>

一旦加載，該惡意軟件將在后臺悄悄運(yùn)行，同時竊取電子郵件用于其他網(wǎng)絡(luò)釣魚攻擊或安裝另外的攻擊載荷，比如Brute Ratel、Cobalt Strike及其他惡意軟件。

安裝Brute Ratel和Cobalt Strike后利用工具包通常會導(dǎo)致更具破壞性的攻擊，比如數(shù)據(jù)盜竊和勒索軟件攻擊。

在過去，Egregor和Prolock勒索軟件團(tuán)伙與QBot分發(fā)團(tuán)伙狼狽為奸，伺機(jī)訪問公司網(wǎng)絡(luò)。最近，繼QBot感染之后，網(wǎng)絡(luò)上出現(xiàn)了Black Basta勒索軟件攻擊。

本文翻譯自：https://www.bleepingcomputer.com/news/security/new-attacks-use-windows-security-bypass-zero-day-to-drop-malware/