close

駭侵團體利用 Windows 新 0-day 漏洞跳過資安檢查並植入惡意軟體

資安廠商 ANALYGENCE 旗下的資安專家,近來發現一波利用 Windows 最新 0-day 漏洞來跳過 Windows 內建資安防護功能 Mark of the Web (MoTW),進而在受害系統上植入 Qbot 惡意軟體的攻擊活動。

Mark of the Web 是 Windows 內建的資安防護機制之一,Windows 會針對從網路上下載的檔案,或是 Email 中的夾檔,建立額外的檔案屬性,包括檔案原始出處、推薦者與下載 URL 等資訊。用戶如欲開啟具有 MoTW 的檔案時,Windows 會額外顯示一個警告視窗,詢問用戶是否確實要開啟檔案。

資安專家在分析近期一波利用釣魚郵件散布 Magniber 勒贖軟體的攻擊行動時,發現了該駭侵者利用 Windows 一個新的 0-day 漏洞,防止用戶在開啟含有惡意程式碼的檔案時,看到 Windows 的 MoTW 提醒視窗。

該攻擊手法係利用一個在 Microsoft 支援文件中提到的 base64 編碼簽署區塊,來為惡意軟體的 JavaScript 程式碼檔案進行簽署;如此用戶在開啟惡意檔案時,Windows 就不會顯示 MoTW 警告訊息,而會直接開啟檔案。

資安專家也指出,近期的 QBot 惡意軟體釣魚攻擊,原本利用 ISO 檔格式來放置惡意軟體,這是因為 Windows 不會對 ISO 檔進行 MoTW 附加動作;但在 2022 年 11 月的 Patch Tuesday 中,Microsoft 修復了這個錯誤,因此駭侵者改使用上述最新的 0-day 漏洞來跳過 MoTW 機制。

據資安媒體 BleepingComputer 指出,Microsoft 在 10 月時已經得知該 0-day 漏洞的存在且遭到多場駭侵攻擊濫用的情形;預計 12 月的 Patch Tuesday 中將可針對此 0-day 漏洞進行修補。

由於各種軟體與作業系統的 0-day 漏洞難以避免,用戶除應在可更新時立即更新,以修補已知 0-day 漏洞外,不任意點按連結或開啟不明檔案,也能加強自身的資安防護。

  • 參考連結

Will Dormann @wdormann

https://twitter.com/wdormann/status/1582466468968792064

New attacks use Windows security bypass zero-day to drop malware

https://www.bleepingcomputer.com/news/security/new-attacks-use-windows-security-bypass-zero-day-to-drop-malware/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()