Qakbot 新型感染链：使用 Windows7 系统侧加载感染设备

前言：DLL 侧加载(DLL side-loading)是一种常见的攻击方法，也就是我们常说的“白加黑”技术，它利用了 Windows 中处理动态链接库(DLL)的方式。Qakbot 恶意软件的开发者通过使用 Windows7 系统在被感染的计算机上侧加载恶意负载，最终达到感染设备的效果。

近日，安全研究人员 ProxyLife 发现，从今年 7 月 11 日开始 Qakbot 滥用 Windows 7 Calculator 应用程序进行 DLL 侧加载攻击。这种方法也被继续被用于恶意垃圾邮件活动。

Qakbot 恶意软件的开发者通过使用 Windows7 系统在被感染的计算机上侧加载恶意负载，最终达到感染设备的效果。

DLL 侧加载(DLL side-loading)

动态链接 DLL 是包含了若干个函数、类和资源的库文件。它可以被其他可执行文件(如.EXE 文件和其它 DLL 文件)动态调用。使用 DL 的第一个优点是使多个应用程序,甚至是不同语言编写的应用程序可以共享一个 DL 文件,真正实现了“资源共享”;另一个优点是将 DL 文件作为应用程序一个独立的模块设计时,可以提高软件的开发速度,为软件升级提供了方便。

而 DLL 侧加载(DLL side-loading)是一种常见的攻击方法，也就是我们常说的“白加黑”技术，它利用了 Windows 中处理动态链接库(DLL)的方式。DLL 侧加载(DLL side-loading)恶意软件通过欺骗一个合法的 DLL，会在 Windows 的 WinSxS 目录中放置一个伪造的恶意 DLL 文件，以便操作系统加载它而不是合法文件。

DLL 侧加载攻击（DLL side-loading Attack）

通常在 Microsoft Windows 中，程序可以通过指定完整路径或使用清单等其他机制来定义在运行时加载哪些库或文件夹。程序清单可以包括 DLL 重定向、文件名或完整路径。因此，如果清单只引用了一个库文件名，它被视为弱引用并且容易受到 DLL 侧加载攻击。

DLL 侧加载攻击主要是利用弱库引用和 Windows 默认的搜索顺序，在系统上放置一个伪装成合法 DLL 的恶意 DLL 文件，合法程序将自动加载该文件。

DLL 侧加载通常会被勒索软件运营商使用，他们利用 DLL 侧加载来执行勒索软件有效载荷，以逃避安全产品的检测。

Qakbot 病毒

Qakbot 病毒最开始是一种银行木马，受影响系统为微软 Windows。Qakbot 最早被发现于 2009 年，根据微软的分析，Qakbot 被认为是由网络犯罪组织 Gold Lagoon 创建的。

Qakbot 专门针对企业、银行、医疗、教育等机构进行强大的信息窃取功能，并持续监控用户的银行活动以欺诈大量钱财。

近年来，Qakbot 发现了多个升级的变种，利用高级技术进行反检测与自我伪装，试图躲过了杀毒软件检测。后来 Qakbot 演变成了恶意软件投递器，勒索软件团伙在攻击的早期阶段使用它来投递攻击信标，造成了许多重大经济损失。

而且 Qakbot 交付的其它勒索软件包括 RansomExx、Maze、ProLock 和 Egregor，最近，还发布了 Black Basta 勒索软件。

Qakbot 新型感染链

那么 Qakbot 病毒是如何运行 DLL 侧加载(DLL side-loading)？

为了防御这种危险链接和攻击，ProxyLife 和 Cyble 的研究人员记仔细研究和记录了新型的 Qakbot 感染链。

在最新的活动中使用的电子邮件带有一个 HTML 文件附件，该附件下载了一个有密码保护的 ZIP 压缩包，其中包含一个 ISO 文件。

打开 ZIP 文件的密码显示在 HTML 文件中，锁定存档的原因是为了躲避反病毒软件的检测。

ISO 包含一个 lnk 文件，一个“calc.exe”(Windows 计算器)的副本，以及两个 DLL 文件，即 WindowsCodecs.dll 和一个名 7533.dll 的有效负载。

当用户挂载 ISO 文件时，它只显示 lnk 文件，该文件被伪装成有重要信息的 PDF 文件或使用 Microsoft Edge 浏览器打开的文件。

然而，在 Windows 中，快捷方式指向计算器应用程序。

单击快捷方式通过命令提示符执行 Calc.exe 最终就会触发感染。

Qakbot 恶意软件的新型感染链的关键在于感染文件会被伪装成其它文件。因为在加载时，Windows 7 系统会自动搜索并尝试加载合法的 WindowsCodecs DLL 文件。

但是，Windows 7 系统不会检查某些硬编码路径中的 DLL，如果将 DLL 文件放置在与 Calc.exe 可执行文件相同的文件夹中，它将加载具有相同名称的任何 DLL。

威胁者就是利用这个漏洞，创建他们自己的恶意 WindowsCodecs.dll 文件，然后启动其它编号.dll 文件。

通过像 Windows 系统程序安装 Qakbot 后，一些安全软件在加载恶意软件时则无法检测出它，造成了这种威胁逃避了安全软件检测。

但是有一点，此 DLL 侧加载漏洞不适用于 Windows 10 Calc.exe 及以后版本，这也是威胁者会针对 Windows 7 版本的原因。

Qakbot 已经有十多年的历史了，虽然投放这种病毒的活动并不频繁，但是根据记载，Emotet 僵尸网络曾经通过散布这种病毒来投放勒索软件的有效载荷。

（部分消息链接：https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/）