1        概述

近期，安天CERT发现了一起利用恶意Microsoft Excel加载项（XLL）文件投递Qbot银行木马的恶意活动。攻击者通过发送垃圾邮件来诱导用户打开附件中的XLL文件，一旦用户安装并激活Microsoft Excel加载项，恶意代码将被执行。随后，恶意代码会在用户主机上进行层层解密，最终释放出Qbot银行木马。

自2023年2月微软宣布默认阻止Office文档中的宏之后，攻击者尝试使用其他类型的文件作为传播恶意软件的新型媒介。利用XLL文件传播恶意文件的网络钓鱼活动于2021年底开始增多，目前已有Dridex、Qbot、Formbook、AgentTesla等多个恶意代码家族利用XLL文件进行传播，受害者打开XLL文件时，将启动Excel，并将XLL文件作为Excel加载项加载执行，绕过了Office宏文档的限制。

Qbot银行木马于2008年出现，自2020年4月开始进入活跃状态，主要通过垃圾邮件进行传播。2021年2月，安天CERT发布《Qbot银行木马2020年活动分析报告》[1]。该银行木马在执行过程中多次解密，利用加载器加载执行恶意功能躲避反病毒软件的静态查杀，利用计划任务实现自启动，能够在受害主机上获取屏幕截图、收集目标系统信息和获取浏览器Cookie信息等。攻击者还能够利用从用户处窃取的数据实施后续的攻击活动。

经验证，安天智甲终端防御系统（简称IEP）可实现对该银行木马的有效查杀。

2        事件对应的ATT&CK映射图谱

针对攻击者投递银行木马的完整过程，安天梳理本次攻击事件对应的ATT&CK映射图谱如下图所示：

                                             

攻击者使用的技术点如下表所示：

表 2‑1事件对应的ATT&CK技术行为描述表

3        防护建议

为有效防御此类攻击事件，提升安全防护水平，安天建议企业采取如下防护措施：

3.1        识别钓鱼邮件

（1）         查看邮件发件人：警惕发送“公务邮件”的非组织的发件人；

（2）         看收件人地址：警惕群发邮件，可联系发件人确认；

（3）         看发件时间：警惕非工作时间发送的邮件；

（4）         看邮件标题：警惕具备“订单”、“票据”、“工资补贴”、“采购”等关键词的标题的邮件；

（5）         看正文措辞：警惕以“亲”、“亲爱的用户”、“亲爱的同事”等较为泛化问候的邮件；

（6）         看正文目的：警惕以“系统升级”、“系统维护”、“安全设置”等名义索取邮箱账号密码的邮件；

（7）         看正文内容：警惕其中附带的网页链接，特别是短链接；

（8）         看附件内容：查看前，须使用防毒软件对附件进行病毒扫描监测。

3.2        日常邮箱安全使用防护

（1）         安装终端防护软件：安装终端防护软件，开启防护软件中对邮件附件的扫描检测功能，定期对系统进行安全检测，修复系统漏洞。

（2）         邮箱登录口令：邮箱登录口令设置时确保具备一定复杂性（包含三种字符元素），确保口令不记录于办公区明显位置，定期修改登录口令。

（3）         邮箱账号要绑定手机：邮箱账号绑定手机后，不仅可以找回密码，还可以接收“异常登录”的提示短信，即时处置。

（4）         重要文件要做好防护：

1.        及时清空收件箱、发件箱和垃圾箱内不再使用的重要邮件；

2.      备份重要文件，防止被攻击后文件丢失；

3.      重要邮件或附件应加密发送，且正文中不能附带解密密码。

（5）         敏感信息要保护：不要将敏感信息发布到互联网上，用户发布到互联网上的信息和数据会被攻击者收集。攻击者可以通过分析这些信息和数据，有针对性的向用户发送钓鱼邮件。

3.3        政企机构防护

（1）         安装终端防护软件：安装反病毒软件，建议安装安天智甲终端防御系统；

（2）         加强口令强度：避免使用弱口令，建议使用16位或更长的口令，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

（3）         关闭PowerShell：若一定时间内不使用PowerShell命令行工具，建议将其关闭；

（4）         部署入侵检测系统（IDS）：部署流量监控类软件或设备，便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统（PTD）以网络流量为检测分析对象，能精准检测出已知海量恶意代码和网络攻击活动，有效发现网络可疑行为、资产和各类未知威胁；

（5）         安天服务：若遭受恶意软件攻击，建议及时隔离被攻击主机，并保护现场等待安全工程师对计算机进行排查；安天7*24小时服务热线：400-840-9234。

经验证，安天智甲终端防御系统（简称IEP）可实现对该银行木马的有效查杀。

4        攻击流程

4.1        攻击流程图

攻击者传播垃圾邮件，诱导用户打开附件中的XLL文件（Agreement_487989a_Mar4.xll），Excel执行包含恶意代码的导出函数xlAutoOpen，恶意代码解密出后续的载荷并执行，创建进程执行cmd命令将从资源中解密的XLL文件写入目标文件3.dat中，创建计划任务自动化执行最终样本，最终样本将自身注入到wermgr.exe进程，劫持执行流程实现获取系统信息、获取磁盘驱动信息、获取屏幕截图、创建管道监视连接、反调试、判断环境中是否存在调试工具和杀毒软件进程等功能。

 

4.2        利用XLL文件传播恶意文件

攻击者向用户发送垃圾邮件，诱导用户打开附件中的XLL文件。

用户打开XLL文件后，Windows资源管理器将自动启动Excel打开XLL文件，在加载XLL文件之前，Excel会显示一条警告，指出可能包含恶意代码并提示用户安装和激活加载项。

就文件类型而言，XLL文件是标准的Windows动态加载库（dll）。为了使Excel加载项管理器成功加载XLL文件，XLL文件必须实现至少一个导出函数（称为xlAutoOpen），以便在Excel加载XLL文件时调用代码。攻击者通常将恶意代码置于xlAutoOpen函数中，该函数会在加载项被激活时立即触发执行。这意味着，与要求用户启用宏的VBA宏不同，受害者只要打开XLL文件就会执行恶意代码[2]。

5        样本分析

攻击者通过发送垃圾邮件来诱导用户打开附件中的XLL文件，一旦用户安装并激活Microsoft Excel加载项，恶意代码将被执行。随后，恶意代码会在用户主机上进行层层解密，最终释放出Qbot银行木马。

Qbot银行木马具有在受害主机上获取屏幕截图、获取目标系统信息、获取浏览器Cookie信息等功能。银行木马在执行过程中通过多层解密、利用加载器加载解密文件躲避反病毒软件的静态查杀、利用计划任务实现自启动、最终实现搜集和监控等恶意行为，将敏感数据按照攻击者的需求进行传输，攻击者还能够利用从用户处窃取的数据实施后续的攻击活动。

5.1        样本标签

表 5‑1样本标签

Agreement_487989a_Mar4.xll文件执行后会从内存中循环解密出加载器和一个dll文件，解密算法如下图。

加载器在内存中加载执行dll文件。

5.3        第二层代码-dll文件

dll文件搜索资源数据并加载到内存中解密，创建1.dat、2.dat文件，将解密出的数据前400字节写入1.dat文件，剩余字节写入2.dat文件。

dll文件解密并拼接出命令，创建进程执行命令。其功能为读取1.dat、2.dat文件内容写入到3.dat中，利用rundll32.exe执行3.dat文件导出函数xlAutoOpen。根据导出函数可知3.dat文件也是XLL文件。

dll文件获取系统时间，解密并拼接出命令，创建进程执行命令。其功能为使用schtasks.exe将3.dat添加到计划任务，任务名设置为QQQ。

5.4        第三层代码-3.dat

3.dat文件是XLL文件，通过rundll32.exe调用xlAutoOpen函数执行，与Agreement_487989a_Mar4.xll相似，xlAutoOpen函数都利用多次循环异或解密出加载器和一个dll文件，加载器将dll文件在内存中展开，修改重定位表，修改导出表，跳转到dll导出函数执行，与原始样本不同的是，原始样本的加载器存在大量混淆。将解密出的pe文件dump下来命名Qbot.dll，后续分析报告中都使用此命名。

5.5        第四层代码-Qbot.dll

Qbot.dll文件主要执行以下几个功能：反调试、获取系统信息、查询杀毒软件进程、重启进程、将自身代码注入到wermgr.exe进程执行核心模块。

通过NtCurrentPeb获取peb，利用BeingDebugged成员进行反调试。如果存在调试器则修改key，影响样本的解密函数。

Qbot银行木马获取访问令牌中的组成员身份。

Qbot银行木马判断当前进程是否为管理员权限。

Qbot银行木马获取进程的RID信息，如果RID<0x2000，含义为不受信任或低完整性。

当RID<0x2000时，Qbot银行木马获取版本信息、环境变量信息、计算机名等系统信息。

Qbot银行木马枚举当前系统进程，查询是否有诸如ccSvcHst.exe、NortonSecurity.exe、nsWscSvc.exe、avgcsrvx.exe、avgsvcx.exe等杀毒软件进程。

Qbot银行木马解密出杀毒软件进程字符串。

Qbot银行木马检测自身运行权限，获取一个管理员权限的当前窗口的句柄，以管理员权限重启进程。

Qbot银行木马以挂起的方式创建wermgr.exe进程。

Qbot银行木马将自身注入到wermgr.exe进程中，修改重定位表，调用GetThreadContext函数获取入口函数地址。

wermgr.exe进程主要实现以下几个功能：获取磁盘驱动信息、创建多个子线程并将这些子线程的优先级设置为低于正常、反调试、动态获取加密相关函数、屏幕截图、创建命名管道并监视、与C2服务器建立连接回传数据等功能。

wermgr.exe进程获取磁盘驱动信息。

wermgr.exe进程获取系统所有账户名称。

wermgr.exe进程创建子线程，当子线程启动时，将线程优先级设置为低于正常值。

wermgr.exe进程枚举当前系统进程，查询是否有诸如Fiddler.exe、Autoruns.exe等分析工具。判断是否存在调试器，若判断存在调试器则对解密算法的KEY进行异或操作。

wermgr.exe进程解密出分析工具进程字符串。

wermgr.exe进程利用BitBlt等API获取屏幕截图。

wermgr.exe进程创建命名管道\\\\.\\pipe\\%ssp，当此管道被连接时，创建子线程来监视和处理数据。

wermgr.exe进程从资源中解密得到以下IP地址和端口，用于构建通信隧道。

表 5‑1解密后的IP地址和端口

 

6        总结

自2023年2月微软宣布默认阻止Office文档中的宏之后，攻击者转变投递恶意文件的方式，将XLL文件作为一种传播恶意文件的新型媒介。攻击者向用户发送垃圾邮件，诱导用户打开附件中的XLL文件执行恶意代码，从而在用户主机上运行银行木马、远控木马等恶意软件。

在此建议用户不要轻易相信未知邮件中的内容，对邮件的来源进行确认，并警惕邮件中具有诱导性的内容。安天CERT将持续关注攻击者的新型攻击手段，并对相关攻击活动进行深入分析与研究。

7        IoCs

参考资料

[1]     Qbot银行木马2020年活动分析报告

https://www.antiy.cn/research/notice&report/research_report/20210206.html

[2]     Threat Spotlight: XLLing in Excel - threat actors using malicious add-ins

https://blog.talosintelligence.com/xlling-in-excel-malicious-add-ins/