Nye angreb bruger Windows-Security til at omgå nul-dag sikkerhedshul for at installere malware

By Michael RasmussenMagniber, Motw, QBOT, Sikkerhedshuller, Windows Security, Zero Day
eye, creative, galaxy

Nye phishing-angreb bruger en Windows zero-day-sårbarhed til at slippe Qbot-malware uden at vise Mark of the Web-sikkerhedsadvarsler.

Når filer downloades fra en fjernplacering, der ikke er tillid til, f.eks. internettet eller en vedhæftet fil i en mail, føjer Windows en særlig attribut til filen, der kaldes Internettets mærke. Dette MoTW-mærke (Mark of the Web) er en alternativ datastrøm, der indeholder oplysninger om filen, f.eks. den URL-sikkerhedszone, filen stammer fra, dens henviser og dens download-URL. Når en bruger forsøger at åbne en fil med en MoTW-attribut, viser Windows en sikkerhedsadvarsel, der spørger, om de er sikre på, at de ønsker at åbne filen.

“Mens filer fra internettet kan være nyttige, kan denne filtype potentielt skade din computer. Hvis du ikke stoler på kilden, skal du ikke åbne denne software,” lyder advarslen fra Windows.

I sidste måned rapporterede HP’s trusselsefterretningsteam, at et phishing-angreb distribuerede Magniber-ransomware ved hjælp af JavaScript-filer. Disse JavaScript-filer er ikke de samme som dem, der bruges på websteder, men er selvstændige filer med ‘. JS ‘udvidelse, der udføres ved hjælp af Windows Script Host (wscript.exe).

Efter at have analyseret filerne opdagede Will Dormann, en senior sårbarhedsanalytiker hos ANALYGENCE,  at trusselsaktørerne brugte en ny Windows zero-day-sårbarhed, der forhindrede Mark of the Web-sikkerhedsadvarsler i at blive vist.

For at udnytte denne sårbarhed kan en JS-fil (eller andre typer filer) signeres ved hjælp af en integreret base64-kodet signaturblok, som beskrevet i denne Microsoft-supportartikel.

Men når en ondsindet fil med en af disse misdannede signaturer åbnes, i stedet for at blive markeret af Microsoft SmartScreen og vise MoTW-sikkerhedsadvarslen, tillader Windows automatisk programmet at køre.

QBot malware-kampagne bruger Windows zero-day

En Ny QBot malware phishing-kampagne har distribueret adgangskodebeskyttede ZIP-arkiver, der indeholder ISO-billeder. Disse ISO-billeder indeholder en Windows-genvej og DLL’er til installation af malware.

Her blev ISO-billeder blev brugt til at distribuere malware, da Windows ikke korrekt udbredte Web Mark til filer i dem, hvilket gjorde det muligt for de indeholdte filer at omgå Windows-sikkerhedsadvarsler.

Som en del af Microsoft November 2022 Patch Tuesday blev der frigivet sikkerhedsopdateringer, der løste denne fejl, hvilket fik MoTW-flaget til at forplante sig til alle filer inde i et åbnet ISO-billede og rette denne sikkerhedsomgåelse.

I en ny QBot-phishing-kampagne opdaget af sikkerhedsforsker ProxyLife har trusselsaktørerne skiftet til Windows Mark of the Web zero-day sårbarhed ved at distribuere JS-filer underskrevet med misdannede signaturer.

Denne nye phishing-kampagne starter med en e-mail, der indeholder et link til et påstået dokument og en adgangskode til filen.

Når der klikkes på linket, downloades et adgangskodebeskyttet ZIP-arkiv, der indeholder en anden zip-fil, efterfulgt af en IMG-fil.

I Windows 10 og nyere, når du dobbeltklikker på en diskbilledfil, såsom en IMG eller ISO, monterer operativsystemet det automatisk som et nyt drevbogstav.

Denne IMG-fil indeholder en .js-fil (‘WW.js’), en tekstfil (‘data.txt’) og en anden mappe, der indeholder en DLL-fil omdøbt til en .tmp-fil (‘lighed.tmp’) [VirusTotal], som illustreret nedenfor. Det skal bemærkes, at filnavnene ændres pr. Kampagne, så de bør ikke betragtes som statiske.

Den JS fil indeholder VB script, der vil læse data.txt fil, som indeholder ‘vR32’ streng, og tilføjer indholdet til parameteren for shellexecute kommando til at indlæse ‘port / lighed.tmp’ DLL-filen. I denne særlige e-mail er den rekonstruerede kommando:

regSvR32 portlighed.tmp

Da JS-filen stammer fra internettet, ville lancering af den i Windows vise en Mark of the Web-sikkerhedsadvarsel.

Men, som du kan se fra billedet af JS-scriptet ovenfor, det er underskrevet ved hjælp af den samme misdannede nøgle, der bruges i Magniber ransomware-kampagnerne til at udnytte Windows zero-day sårbarhed.

Denne misdannede signatur gør det muligt for JS-scriptet at køre og indlæse QBot-malware uden at vise nogen sikkerhedsadvarsler fra Windows, som vist af den lancerede proces nedenfor.

Efter en kort periode injicerer malware-loaderen QBot DLL i legitime Windows-processer for at undgå detektion, såsom wermgr.exe eller AtBroker.exe.

Microsoft har kendt til denne nul-dages sårbarhed siden oktober, og nu hvor andre malware-kampagner udnytter den, vil vi forhåbentlig se fejlen rettet som en del af sikkerhedsopdateringerne December 2022 Patch Tuesday.

QBot-malware

QBot, også kendt som Qakbot, er en Windows-malware, der oprindeligt blev udviklet som en banktrojan, men har udviklet sig til at være en malware-dropper.

Når den er indlæst, kører malware stille og roligt i baggrunden, mens den stjæler e-mails til brug i andre phishing-angreb eller til at installere yderligere programmer.

Installation af Brute Ratel og Cobalt Strike værktøjssæt efter udnyttelse fører typisk til mere forstyrrende angreb, såsom datatyveri og ransomware-angreb.

Kilde: Bleebing Computer
Fotokredit: