パスワードを忘れた? アカウント作成
16630905 story
Windows

マルウェア QBot、ワードパッドの実行ファイルを悪用したフィッシングキャンペーン 15

ストーリー by nagazou
悪用 部門より
headless 曰く、

マルウェア QBot (QakBot、QuackBot などとも) が Windows 10 の「write.exe」を悪用したフィッシングキャンペーンを実行していたそうだ (BleepingComputer の記事Ghacks の記事)。

write.exe はワードパッドに置き換えられた Microsoft Write との互換性を維持するために用意されている実行ファイルで、実行時に読み込まれる edputil.dll を DLL ハイジャックにより置き換えることが可能だという。ただし、write.exe は Windows ディレクトリおよび System32 ディレクトリに格納されており、edputil.dll は System32 ディレクトリに格納されているため通常は置き換え不可能だ。

そのため、QBot ではダウンロードさせる ZIP ファイルに「document.exe」とリネームした Windows 10 の write.exe と偽の edputil.dll を格納することで、DLL ハイジャックを実現している。document.exe を実行すると偽の DLL が読み込まれ、curl.exe を使用してリモートホストから PNG ファイルをダウンロードする。このファイルは PNG に偽装したDLLであり、rundll32.exe を使用して実行することで QBot が常駐するという仕組みだ。

実際に効果があるかどうかは不明だが、QBot 運用者は write.exe のような信頼された実行ファイルを通じてマルウェアを起動することで、セキュリティソフトウェアに検知されにくくなることを期待しているとみられる。なお、Windows 11 の write.exe でも同様の動作になる可能性はあるが、Windows 11 版の write.exe は Windows 10 上で実行できない。また、curl.exe は Windows 10 以降にしか搭載されていないため、ターゲットは Windows 10 以降となる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年06月01日 7時13分 (#4469675)

    /人◕ω◕人\ ボクを実行してマルウェアに感染しようよ

    • by Anonymous Coward

      QBしか合ってねえぇぇぇ

  • by Anonymous Coward on 2023年06月01日 7時33分 (#4469678)

    Windowsがカレント優先でDLL読み込むのって前世紀の仕様だけど業務ポリシーではまだあったりするのかねぇ

    • by Anonymous Coward

      カレントではなくアプリケーションのディレクトリだし現役バリバリ(死語)の仕様だが

    • by Anonymous Coward

      DLLハイジャックといっても既存のEXEに何かを仕込む使い方ではなく、アンチウイルスにマルウェアを無害のwrite.exeと誤認させるためのテクニックとして使ってる感じだな。
      https://www.prsol.cc/qbot-malware-abuses-windows-wordpad-exe-to-infect... [prsol.cc]

  • by Anonymous Coward on 2023年06月01日 8時39分 (#4469695)

    ちょっと考えたらわかりそうなものだが、ちょっと考える時間もないことがある
    正規の(正規とされるハッシュのついた)EXEが含まれてたら怪しむことにする
    DLLなんて当然可視にしてるけど、そうじゃない環境もなくはないしね

    • by Anonymous Coward on 2023年06月01日 8時47分 (#4469698)

      じゃあSystem32の中は怪しいファイルだらけだから全削除だな

      親コメント
      • by Anonymous Coward

        ボクのPCには64ビットばんのウインドウズが入っているのですがなぜかSystem32というフォルダがあります。
        これはウイルスかなんかでしょうか?

      • by Anonymous Coward

        じゃあSystem32の中は怪しいファイルだらけだから全削除だな

        SysWow69といういやらしいフォルダもだな(違

    • by Anonymous Coward

      可視化ってエクスプローラー上に表示みたいな話?
      問題はそうじゃ無くて、どんだけのdllが実質無名のプロセスとして走ってるのかって方だと思うけど可視化、把握できてる?
      俺は出来ない

  • by Anonymous Coward on 2023年06月01日 12時52分 (#4469833)

    ウイルス本体を edputil.dll というファイル名にすることでウイルスチェックを回避してるつもりなんだろうけど、
    そんな単純な方法でウイルスチェックを回避できるんだろうか?
    ウイルスチェックで、ファイル名とか拡張子だけで安全か危険か判定するなんて、ありえないと思います。

    タレコミにも書いてあるけど、効果があるかどうか怪しいですね。

    • by Anonymous Coward

      シグネチャが登録されてしまえば無理だろうけど、ヒューリスティック検知の段階でなら有効かもね。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...