正文开始之前,PWN君想问一问各位PWN友,你经常用的操作系统是什么?
其实,第一部计算机面世时,并没有搭载操作系统,直到1956年通用汽车为了自家的 IBM 704 机器才研发出有史以来最早的计算机操作系统 GM-NAA I/O。经过半个多世纪的发展,微软的 Windows 成功占据了计算机操作系统的(大)半壁江山,目前已经更新升级到 Windows 11。不过,很多人也许没想到,截至2022年6月份,微软在2019年已宣布停止支持的Windows 7市场份额比Windows 11还高一点,在 Windows 的整体市场份额中依旧排第二位。本文的主角,就与 Windows 7 有关。
前两天,外网有这么一篇报道:
乍一看还以为是用“计算器”就破解了 Windows 7。而事实是:利用 Windows 计算器中的 DLL 劫持漏洞能感染计算机,植入QBot 木马,避开安全软件的检测,进而秘密获取用户的姓名、邮件、照片、视频等信息,把电脑变成新的恶意软件传播器。
所谓“最高端的攻击往往采用最朴素的方法”。似乎很多攻击都从一封邮件开始,这个利用“计算”漏洞针对 Win7 的攻击也不例外。攻击者向用户发送带有 HTML 附件的邮件,下载之后是一个需要密码才能解压的zip文件。之所以要加密,是为了躲避杀毒软件的检测。
当然,解压密码已经写在 HTML 文件里了,否则无法解压,恶意程序就放不出来。zip文件解压之后,里面有一个 ISO 文档,包含.LNK文件、伪造的 Windows 计算器程序和两个 DLL文件。一旦加载这个ISO文件,就会激活伪造的 Windows 计算器程序,这个程序则会被系统判定为受信任的程序,进而安装 QBot。
DLL 劫持已经是比较常见的攻击方法了,主要就是利用了 Windows 处理动态链接库方式的缺陷。通过创建合法DLL的恶意版本并将其排在搜索结果的前排,就能在系统启动可执行文件时优先加载恶意DLL,入侵计算机。QBot 更是存在了十多年,在2009年就已经出现。曾被用于分发 RansomExx, Maze, ProLock, Egregor 等勒索软件。最近还在分发 Black Basta 勒索软件。
研究发现,这个漏洞目前只影响 Win7系统。所谓的用计算器入侵电脑系统也只是因为特定的 Win7系统中计算器因为漏洞被劫持,导致含有恶意软件的伪造“计算器”欺骗系统得以运行。无论用户是出于什么原因选择继续用 Win7,考虑到安全性还是要尽早升级。虽然微软早就宣布不再支持 Win7,也许可以再提醒提醒那些用着旧系统的老用户们。
当大家渐渐习惯去研究新的问题时,往往会忽视旧的问题。未修复的漏洞依然会被利用,老的恶意软件也可能依旧在暗中活动。毕竟攻击者为了达成目的往往无所不用其极。作为防御者,有时也许要温故知新。
本次研究者发现的攻击详情与IoC:
https://bazaar.abuse.ch/sample/f5c16248418a4f1fd8dff438b26b8da7f587b77db9e180a82493bae140893687/
https://github.com/pr0xylife/Qakbot/blob/main/Qakbot_obama200_11.07.2022.txt