官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

网络安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

利用XLL文件投递Qbot银行木马的钓鱼活动分析

antiylab 2023-04-27 11:32:10 206057

所属地北京

1 概述

近期，安天CERT发现了一起利用恶意Microsoft Excel加载项（XLL）文件投递Qbot银行木马的恶意活动。攻击者通过发送垃圾邮件来诱导用户打开附件中的XLL文件，一旦用户安装并激活Microsoft Excel加载项，恶意代码将被执行。随后，恶意代码会在用户主机上进行层层解密，最终释放出Qbot银行木马。

自2023年2月微软宣布默认阻止Office文档中的宏之后，攻击者尝试使用其他类型的文件作为传播恶意软件的新型媒介。利用XLL文件传播恶意文件的网络钓鱼活动于2021年底开始增多，目前已有Dridex、Qbot、Formbook、AgentTesla等多个恶意代码家族利用XLL文件进行传播，受害者打开XLL文件时，将启动Excel，并将XLL文件作为Excel加载项加载执行，绕过了Office宏文档的限制。

Qbot银行木马于2008年出现，自2020年4月开始进入活跃状态，主要通过垃圾邮件进行传播。2021年2月，安天CERT发布《Qbot银行木马2020年活动分析报告》^[1]。该银行木马在执行过程中多次解密，利用加载器加载执行恶意功能躲避反病毒软件的静态查杀，利用计划任务实现自启动，能够在受害主机上获取屏幕截图、收集目标系统信息和获取浏览器Cookie信息等。攻击者还能够利用从用户处窃取的数据实施后续的攻击活动。

经验证，安天智甲终端防御系统（简称IEP）可实现对该银行木马的有效查杀。

2 事件对应的ATT&CK映射图谱

针对攻击者投递银行木马的完整过程，安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示：

图 2‑1技术特点对应ATT&CK的映射

攻击者使用的技术点如下表所示：

表 2‑1事件对应的ATT&CK技术行为描述表

ATT&CK阶段/类别	具体行为	注释
初始访问	网络钓鱼	通过钓鱼邮件传播
执行	利用命令和脚本解释器	利用命令执行XLL文件
执行	诱导用户执行	诱导用户执行恶意文件
持久化	利用自动启动执行引导或登录	添加注册表自启动项
持久化	利用计划任务/工作	创建计划任务实现持久化
防御规避	反混淆/解码文件或信息	解码多层载荷信息
	删除主机中的信标	删除创建的远程服务和共享文件夹下的样本
	执行流程劫持	劫持系统进程
	进程注入	注入最终的银行木马
	规避调试器	判断是否存在调试器
凭证访问	不安全的凭证	获取不安全的应用软件、注册表中的凭证
发现	规避调试器	发现调试器工具进程
	发现文件和目录	在指定目录中发现应用软件
	发现系统信息	发现系统信息
	发现系统时间	发现系统时间
横向移动	利用远程服务	在远程计算机上启动服务
横向移动	污染共享内容	将自身复制到共享文件夹中
收集	收集本地系统数据	收集本地系统数据
收集	获取屏幕截图	获取屏幕截图
命令与控制	使用应用层协议	使用HTTPS协议
数据渗出	使用C2信道回传	使用C2信道回传数据

3 防护建议

为有效防御此类攻击事件，提升安全防护水平，安天建议企业采取如下防护措施：

3.1 识别钓鱼邮件

查看邮件发件人：警惕发送“公务邮件”的非组织的发件人；
看收件人地址：警惕群发邮件，可联系发件人确认；
看发件时间：警惕非工作时间发送的邮件；
看邮件标题：警惕具备“订单”、“票据”、“工资补贴”、“采购”等关键词的标题的邮件；
看正文措辞：警惕以“亲”、“亲爱的用户”、“亲爱的同事”等较为泛化问候的邮件；
看正文目的：警惕以“系统升级”、“系统维护”、“安全设置”等名义索取邮箱账号密码的邮件；
看正文内容：警惕其中附带的网页链接，特别是短链接；
看附件内容：查看前，须使用防毒软件对附件进行病毒扫描监测。

3.2 日常邮箱安全使用防护

安装终端防护软件：安装终端防护软件，开启防护软件中对邮件附件的扫描检测功能，定期对系统进行安全检测，修复系统漏洞。
邮箱登录口令：邮箱登录口令设置时确保具备一定复杂性（包含三种字符元素），确保口令不记录于办公区明显位置，定期修改登录口令。
邮箱账号要绑定手机：邮箱账号绑定手机后，不仅可以找回密码，还可以接收“异常登录”的提示短信，即时处置。
重要文件要做好防护：

及时清空收件箱、发件箱和垃圾箱内不再使用的重要邮件；
备份重要文件，防止被攻击后文件丢失；
重要邮件或附件应加密发送，且正文中不能附带解密密码。

敏感信息要保护：不要将敏感信息发布到互联网上，用户发布到互联网上的信息和数据会被攻击者收集。攻击者可以通过分析这些信息和数据，有针对性的向用户发送钓鱼邮件。

3.3 政企机构防护

安装终端防护软件：安装反病毒软件，建议安装安天智甲终端防御系统；
加强口令强度：避免使用弱口令，建议使用16位或更长的口令，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；
关闭PowerShell：若一定时间内不使用PowerShell命令行工具，建议将其关闭；
部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；
安天服务：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天7*24小时服务热线：400-840-9234。

经验证，安天智甲终端防御系统（简称IEP）可实现对该银行木马的有效查杀。

图 3‑1安天智甲实现对用户系统的有效查杀

4 攻击流程

4.1 攻击流程图

攻击者传播垃圾邮件，诱导用户打开附件中的XLL文件（Agreement_487989a_Mar4.xll），Excel执行包含恶意代码的导出函数xlAutoOpen，恶意代码解密出后续的载荷并执行，创建进程执行cmd命令将从资源中解密的XLL文件写入目标文件3.dat中，创建计划任务自动化执行最终样本，最终样本将自身注入到wermgr.exe进程，劫持执行流程实现获取系统信息、获取磁盘驱动信息、获取屏幕截图、创建管道监视连接、反调试、判断环境中是否存在调试工具和杀毒软件进程等功能。

图 4‑1攻击流程图

4.2 利用XLL文件传播恶意文件

攻击者向用户发送垃圾邮件，诱导用户打开附件中的XLL文件。

图 4‑2 携带恶意代码的XLL文件

用户打开XLL文件后，Windows资源管理器将自动启动Excel打开XLL文件，在加载XLL文件之前，Excel会显示一条警告，指出可能包含恶意代码并提示用户安装和激活加载项。

图 4‑3 打开XLL文档

就文件类型而言，XLL文件是标准的Windows动态加载库（dll）。为了使Excel加载项管理器成功加载XLL文件，XLL文件必须实现至少一个导出函数（称为xlAutoOpen），以便在Excel加载XLL文件时调用代码。攻击者通常将恶意代码置于xlAutoOpen函数中，该函数会在加载项被激活时立即触发执行。这意味着，与要求用户启用宏的VBA宏不同，受害者只要打开XLL文件就会执行恶意代码^[2]。

图 4‑4 xlAutoOpen函数

5 样本分析

攻击者通过发送垃圾邮件来诱导用户打开附件中的XLL文件，一旦用户安装并激活Microsoft Excel加载项，恶意代码将被执行。随后，恶意代码会在用户主机上进行层层解密，最终释放出Qbot银行木马。

Qbot银行木马具有在受害主机上获取屏幕截图、获取目标系统信息、获取浏览器Cookie信息等功能。银行木马在执行过程中通过多层解密、利用加载器加载解密文件躲避反病毒软件的静态查杀、利用计划任务实现自启动、最终实现搜集和监控等恶意行为，将敏感数据按照攻击者的需求进行传输，攻击者还能够利用从用户处窃取的数据实施后续的攻击活动。

5.1 样本标签

表 5‑1样本标签

恶意代码名称	Trojan[Spy]/Win64.Qbot
原始文件名	Agreement_487989a_Mar4.xll
MD5	20746C3BB01AA4DEEA993824F947194D
处理器架构	Advanced Micro Devices X86-64
文件大小	2.28 MB (239,1552 字节)
文件格式	BinExecute/Microsoft.EXE[:X64]
时间戳	2023-03-15 00:10:15
数字签名	无
加壳类型	无
编译语言	Microsoft Visual C++
VT首次上传时间	2023-03-14 20:20:02
VT检测结果	47/69

5.2 第一层代码-解密Shellcode

Agreement_487989a_Mar4.xll文件执行后会从内存中循环解密出加载器和一个dll文件，解密算法如下图。

图 5‑1 xlAutoOpen函数解密执行加载器

加载器在内存中加载执行dll文件。

图 5‑2加载器执行dll

5.3 第二层代码-dll文件

dll文件搜索资源数据并加载到内存中解密，创建1.dat、2.dat文件，将解密出的数据前400字节写入1.dat文件，剩余字节写入2.dat文件。

图 5‑3解密数据写入文件

dll文件解密并拼接出命令，创建进程执行命令。其功能为读取1.dat、2.dat文件内容写入到3.dat中，利用rundll32.exe执行3.dat文件导出函数xlAutoOpen。根据导出函数可知3.dat文件也是XLL文件。

图 5‑4释放文件3.dat并执行

dll文件获取系统时间，解密并拼接出命令，创建进程执行命令。其功能为使用schtasks.exe将3.dat添加到计划任务，任务名设置为QQQ。

图 5‑5创建计划任务实现自启动

5.4 第三层代码-3.dat

3.dat文件是XLL文件，通过rundll32.exe调用xlAutoOpen函数执行，与Agreement_487989a_Mar4.xll相似，xlAutoOpen函数都利用多次循环异或解密出加载器和一个dll文件，加载器将dll文件在内存中展开，修改重定位表，修改导出表，跳转到dll导出函数执行，与原始样本不同的是，原始样本的加载器存在大量混淆。将解密出的pe文件dump下来命名Qbot.dll，后续分析报告中都使用此命名。

图 5‑6执行解密出的dll文件

5.5 第四层代码-Qbot.dll

Qbot.dll文件主要执行以下几个功能：反调试、获取系统信息、查询杀毒软件进程、重启进程、将自身代码注入到wermgr.exe进程执行核心模块。

通过NtCurrentPeb获取peb，利用BeingDebugged成员进行反调试。如果存在调试器则修改key，影响样本的解密函数。

图 5‑7利用BeingDebugged反调试

Qbot银行木马获取访问令牌中的组成员身份。

图 5‑8获取访问令牌中的组成员身份

Qbot银行木马判断当前进程是否为管理员权限。

图 5‑9判断当前进程是否为管理员权限

Qbot银行木马获取进程的RID信息，如果RID<0x2000，含义为不受信任或低完整性。

图 5‑10获取RID图

当RID<0x2000时，Qbot银行木马获取版本信息、环境变量信息、计算机名等系统信息。

图5‑11获取系统信息图

Qbot银行木马枚举当前系统进程，查询是否有诸如ccSvcHst.exe、NortonSecurity.exe、nsWscSvc.exe、avgcsrvx.exe、avgsvcx.exe等杀毒软件进程。

图 5‑12查询杀毒软件进程

Qbot银行木马解密出杀毒软件进程字符串。

图 5‑13杀毒软件进程字符串

Qbot银行木马检测自身运行权限，获取一个管理员权限的当前窗口的句柄，以管理员权限重启进程。

图 5‑14检测自身运行权限

Qbot银行木马以挂起的方式创建wermgr.exe进程。

图 5‑15挂起的方式创建wermgr.exe进程

Qbot银行木马将自身注入到wermgr.exe进程中，修改重定位表，调用GetThreadContext函数获取入口函数地址。

图 5‑16获取Context结构体

wermgr.exe进程主要实现以下几个功能：获取磁盘驱动信息、创建多个子线程并将这些子线程的优先级设置为低于正常、反调试、动态获取加密相关函数、屏幕截图、创建命名管道并监视、与C2服务器建立连接回传数据等功能。

wermgr.exe进程获取磁盘驱动信息。

图 5‑17获取磁盘驱动信息

wermgr.exe进程获取系统所有账户名称。

图 5‑18获取系统所有账户名称

wermgr.exe进程创建子线程，当子线程启动时，将线程优先级设置为低于正常值。

图 5‑19创建子线程

wermgr.exe进程枚举当前系统进程，查询是否有诸如Fiddler.exe、Autoruns.exe等分析工具。判断是否存在调试器，若判断存在调试器则对解密算法的KEY进行异或操作。

图 5‑20查询分析工具进程、反调试

wermgr.exe进程解密出分析工具进程字符串。

图 5‑21分析工具进程字符串

wermgr.exe进程利用BitBlt等API获取屏幕截图。

图 5‑22获取屏幕截图

wermgr.exe进程创建命名管道\\\\.\\pipe\\%ssp，当此管道被连接时，创建子线程来监视和处理数据。

图 5‑23创建命名管道

wermgr.exe进程从资源中解密得到以下IP地址和端口，用于构建通信隧道。

表 5‑1解密后的IP地址和端口

IP地址	IP地址	IP地址
92.239.81.124:443	176.202.46.81:443	2.49.58.47:2222
74.66.134.24:443	213.31.90.183:2222	12.172.173.82:50001
70.53.96.223:995	92.154.45.81:2222	186.64.67.54:443
190.191.35.122:443	68.173.170.110:8443	12.172.173.82:993
12.172.173.82:22	37.186.55.60:2222	84.216.198.124:6881
94.30.98.134:32100	78.196.246.32:443	12.172.173.82:995
173.18.126.3:443	201.244.108.183:995	24.178.201.230:2222
151.65.134.135:443	197.14.148.149:443	197.244.108.123:443
86.130.9.213:2222	190.75.139.66:2222	213.67.255.57:2222
189.222.53.217:443	122.184.143.84:443	92.159.173.52:2222
91.68.227.219:443	86.236.114.212:2222	80.12.88.148:2222
73.36.196.11:443	47.196.225.236:443	65.95.49.237:2222
184.176.35.223:2222	186.48.181.17:995	2.14.105.160:2222
190.218.125.145:443	109.11.175.42:2222	23.251.92.171:2222
75.156.125.215:995	184.189.41.80:443	31.48.18.52:443
70.51.152.61:2222	47.203.229.168:443	104.35.24.154:443
92.154.17.149:2222	103.169.83.89:443	86.169.103.3:443
92.1.170.110:995	183.87.163.165:443	85.241.180.94:443
92.20.204.198:2222	103.141.50.102:995	81.229.117.95:2222
47.34.30.133:443	173.178.151.233:443	47.16.77.194:2222
76.80.180.154:995	67.70.23.222:2222	24.117.237.157:443
87.202.101.164:50000	64.237.245.195:443	103.231.216.238:443
103.71.21.107:443	71.65.145.108:443	12.172.173.82:465
184.153.132.82:443	86.178.33.20:2222	94.200.183.66:2222
98.159.33.25:443	136.35.241.159:443	24.187.145.201:2222
65.94.87.200:2222	184.176.110.61:61202	49.245.82.178:2222
46.10.198.134:443	84.35.26.14:995	103.252.7.231:443
139.5.239.14:443	202.142.98.62:443	27.109.19.90:2078
75.143.236.149:443	50.68.204.71:993	91.169.12.198:32100
24.239.69.244:443	12.172.173.82:21	174.104.184.149:443
86.225.214.138:2222	202.187.87.178:995	81.158.112.20:2222
98.145.23.67:443	73.161.176.218:443	88.122.133.88:32100
76.27.40.189:443	201.137.185.109:443	90.104.22.28:2222
178.175.187.254:443	12.172.173.82:2087	208.180.17.32:2222
196.70.212.80:443	103.12.133.134:2222	190.28.116.106:443
92.27.86.48:2222	76.170.252.153:995	50.68.204.71:995
83.92.85.93:443	35.143.97.145:995	74.93.148.97:995
72.80.7.6:50003	70.55.187.152:2222	72.88.245.71:443
12.172.173.82:32101	187.199.103.21:32103	86.190.223.11:2222
88.126.94.4:50000	116.72.250.18:443