資安廠商 ANALYGENCE 旗下的資安專家,近來發現一波利用 Windows 最新 0-day 漏洞來跳過 Windows 內建資安防護功能 Mark of the Web (MoTW),進而在受害系統上植入 Qbot 惡意軟體的攻擊活動。
Mark of the Web 是 Windows 內建的資安防護機制之一,Windows 會針對從網路上下載的檔案,或是 Email 中的夾檔,建立額外的檔案屬性,包括檔案原始出處、推薦者與下載 URL 等資訊。用戶如欲開啟具有 MoTW 的檔案時,Windows 會額外顯示一個警告視窗,詢問用戶是否確實要開啟檔案。
資安專家在分析近期一波利用釣魚郵件散布 Magniber 勒贖軟體的攻擊行動時,發現了該駭侵者利用 Windows 一個新的 0-day 漏洞,防止用戶在開啟含有惡意程式碼的檔案時,看到 Windows 的 MoTW 提醒視窗。
該攻擊手法係利用一個在 Microsoft 支援文件中提到的 base64 編碼簽署區塊,來為惡意軟體的 JavaScript 程式碼檔案進行簽署;如此用戶在開啟惡意檔案時,Windows 就不會顯示 MoTW 警告訊息,而會直接開啟檔案。
資安專家也指出,近期的 QBot 惡意軟體釣魚攻擊,原本利用 ISO 檔格式來放置惡意軟體,這是因為 Windows 不會對 ISO 檔進行 MoTW 附加動作;但在 2022 年 11 月的 Patch Tuesday 中,Microsoft 修復了這個錯誤,因此駭侵者改使用上述最新的 0-day 漏洞來跳過 MoTW 機制。
據資安媒體 BleepingComputer 指出,Microsoft 在 10 月時已經得知該 0-day 漏洞的存在且遭到多場駭侵攻擊濫用的情形;預計 12 月的 Patch Tuesday 中將可針對此 0-day 漏洞進行修補。
由於各種軟體與作業系統的 0-day 漏洞難以避免,用戶除應在可更新時立即更新,以修補已知 0-day 漏洞外,不任意點按連結或開啟不明檔案,也能加強自身的資安防護。
- 參考連結
Will Dormann @wdormann
https://twitter.com/wdormann/status/1582466468968792064
New attacks use Windows security bypass zero-day to drop malware
留言列表