首页 >> 网络安全 >>病毒分析 >> 收集有关Qakbot银行木马的情报
详细内容

收集有关Qakbot银行木马的情报

时间:2020-11-15     作者:BushidoToken   阅读

背景: 

Qakbot银行木马是当前威胁形势下的顶级恶意软件家族之一。它在大规模垃圾邮件活动中分发,窃取机密信息,还提供了勒索软件运营商的访问权限。预防和检测到这种威胁已成为许多组织的首要任务,因为成功感染会导致代价高昂的网络事件。在此博客中,我旨在共享由开放源代码提供的有关此恶意软件的更多信息,并重点介绍用于应对这种威胁的情报收集过程。


Qakbot(也称为Quakbot或Qbot)自2008年以来一直存在。它以全球各金融机构的客户为目标。尽管Qbot的目标基本上保持不变-旨在窃取银行详细信息并实现电汇欺诈-但其传播方式已在各种活动中有所变化。尽管已经存在了很久,但Qakbot仍然是有组织网络犯罪黑社会中已建立联系的重大威胁。


这样的连接之一就是ProLock勒索软件帮派。Qakbot已通过启用宏的Microsoft Office文档或有针对性的网络钓鱼活动中分发的受密码保护的ZIP存档删除了勒索软件。在Emotet运营商精心策划的大规模垃圾邮件活动期间,该恶意软件也已自行丢弃。如果使用Qakbot来获得对系统的访问权限,则之后不久通常会在目标环境上使用勒索软件。


在最近的安全公告中,Water ISAC发布了有关10月29日Egregor勒索软件攻击的警报,该攻击针对美国一家大型的供水和废水处理厂。值得注意的是,勒索软件最可能的初始感染媒介是包含Qakbot木马的启用宏的文档附件。据报道,在Qakbot成功建立立足点之后,Egregor运营商利用RDP遍历网络资源。目标是超过100个工作站和多台服务器,包括备用服务器。 勒索软件将其他水务公司作为目标的风险很高。


CrowdStrike分三部分发布了有关Qakbot银行木马的更多技术细节。


Qakbot的主要功能包括:

  • 窃取受感染机器的信息,包括密码,电子邮件,信用卡详细信息等等。

  • 在受感染的机器上安装其他恶意软件,包括勒索软件

  • Qakbot还可以使用SMB窃取FTP凭据并在网络中传播。

  • 允许Bot控制器连接到受害者的计算机(即使受害者登录时)也可以从受害者的IP地址进行银行交易。

  • 从其Outlook客户端劫持用户的合法电子邮件线程,并使用这些线程尝试感染其他用户的PC。


映射到Mitre ATT&CK框架的Qakbot TTP:

战术技术子技术
初始访问网络钓鱼鱼叉式网络钓鱼附件
执行用户执行恶意链接,恶意文件
执行命令和脚本解释器PowerShell,CMD Shell,Visual Basic
执行签名的二进制代理执行Msiexec,Rundll32
坚持不懈引导或登录自动启动执行注册表运行键/启动文件夹
坚持不懈计划任务/工作计划任务
防御规避混淆的文件或信息没有
防御规避工艺注入动态链接库注入
防御规避虚拟化/沙盒规避系统检查
防御规避伪装合法的任务或服务名称
凭证访问蛮力密码猜测
凭证访问输入捕捉网络注入
发现虚拟化/沙盒规避基于用户活动的检查
发现网络共享发现没有
横向运动远程服务SMB / Windows管理员共享
采集来自本地系统的数据文件中的凭证
采集邮件收集没有
命令与控制应用层协议网络协议

Qakbot的基本跟踪源:

资源网址
病毒总数https://www.virustotal.com/gui/search/qakbot/comments
任何运行https://any.run/malware-trends/qbot
混合分析https://hybrid-analysis.com/search?query=tag%3Aqbot
恶意软件https://bazaar.abuse.ch/browse/yara/win_qakbot/
YARA by CAPEhttps://github.com/ctxis/CAPE/blob/master/data/yara/CAPE/QakBot.yar
@ dark0pcodes工具https://github.com/dark0pcodes/qbot_helper
实时推文https://twitter.com/search?q=%23Qakbot%20OR%20%23Qbot&src=typed_query&f=live
威胁报告https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot
BlueLivhttps://community.blueliv.com/#!/discover?search=Qakbot

参考文献:

  • https://twitter.com/1ZRR4H/status/1327365067298512900

  • https://twitter.com/VK_Intel/status/1323534149081272320

  • https://www.buguroo.com/zh-CN/labs/emotet-has-begun-distributing-the-qakbot-bank-malware

  • https://blog.malwarebytes.com/cybercrime/2020/11/qbot-delivered-via-malspam-campaign-exploiting-us-election-uncertainties/

  • https://blog.morphisec.com/qakbot-qbot-maldoc-two-new-techniques

  • https://www.group-ib.com/blog/prolock

  • https://twitter.com/abuse_ch/status/1301073144367771650?s=20

  • https://twitter.com/abuse_ch/status/1314087412050595841

  • https://fr3d.hk/blog/u-admin-show-tell

  • https://app.any.run/tasks/41746a3c-73be-420b-8eba-3c5282037455/

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录