背景:
Qakbot银行木马是当前威胁形势下的顶级恶意软件家族之一。它在大规模垃圾邮件活动中分发,窃取机密信息,还提供了勒索软件运营商的访问权限。预防和检测到这种威胁已成为许多组织的首要任务,因为成功感染会导致代价高昂的网络事件。在此博客中,我旨在共享由开放源代码提供的有关此恶意软件的更多信息,并重点介绍用于应对这种威胁的情报收集过程。
Qakbot(也称为Quakbot或Qbot)自2008年以来一直存在。它以全球各金融机构的客户为目标。尽管Qbot的目标基本上保持不变-旨在窃取银行详细信息并实现电汇欺诈-但其传播方式已在各种活动中有所变化。尽管已经存在了很久,但Qakbot仍然是有组织网络犯罪黑社会中已建立联系的重大威胁。
这样的连接之一就是ProLock勒索软件帮派。Qakbot已通过启用宏的Microsoft Office文档或有针对性的网络钓鱼活动中分发的受密码保护的ZIP存档删除了勒索软件。在Emotet运营商精心策划的大规模垃圾邮件活动期间,该恶意软件也已自行丢弃。如果使用Qakbot来获得对系统的访问权限,则之后不久通常会在目标环境上使用勒索软件。
在最近的安全公告中,Water ISAC发布了有关10月29日Egregor勒索软件攻击的警报,该攻击针对美国一家大型的供水和废水处理厂。值得注意的是,勒索软件最可能的初始感染媒介是包含Qakbot木马的启用宏的文档附件。据报道,在Qakbot成功建立立足点之后,Egregor运营商利用RDP遍历网络资源。目标是超过100个工作站和多台服务器,包括备用服务器。 勒索软件将其他水务公司作为目标的风险很高。
CrowdStrike分三部分发布了有关Qakbot银行木马的更多技术细节。
Qakbot的主要功能包括:
窃取受感染机器的信息,包括密码,电子邮件,信用卡详细信息等等。
在受感染的机器上安装其他恶意软件,包括勒索软件
Qakbot还可以使用SMB窃取FTP凭据并在网络中传播。
允许Bot控制器连接到受害者的计算机(即使受害者登录时)也可以从受害者的IP地址进行银行交易。
从其Outlook客户端劫持用户的合法电子邮件线程,并使用这些线程尝试感染其他用户的PC。
映射到Mitre ATT&CK框架的Qakbot TTP:
| 战术 | 技术 | 子技术 |
|---|
| 初始访问 | 网络钓鱼 | 鱼叉式网络钓鱼附件 |
| 执行 | 用户执行 | 恶意链接,恶意文件 |
| 执行 | 命令和脚本解释器 | PowerShell,CMD Shell,Visual Basic |
| 执行 | 签名的二进制代理执行 | Msiexec,Rundll32 |
| 坚持不懈 | 引导或登录自动启动执行 | 注册表运行键/启动文件夹 |
| 坚持不懈 | 计划任务/工作 | 计划任务 |
| 防御规避 | 混淆的文件或信息 | 没有 |
| 防御规避 | 工艺注入 | 动态链接库注入 |
| 防御规避 | 虚拟化/沙盒规避 | 系统检查 |
| 防御规避 | 伪装 | 合法的任务或服务名称 |
| 凭证访问 | 蛮力 | 密码猜测 |
| 凭证访问 | 输入捕捉 | 网络注入 |
| 发现 | 虚拟化/沙盒规避 | 基于用户活动的检查 |
| 发现 | 网络共享发现 | 没有 |
| 横向运动 | 远程服务 | SMB / Windows管理员共享 |
| 采集 | 来自本地系统的数据 | 文件中的凭证 |
| 采集 | 邮件收集 | 没有 |
| 命令与控制 | 应用层协议 | 网络协议 |
Qakbot的基本跟踪源:
| 资源 | 网址 |
|---|
| 病毒总数 | https://www.virustotal.com/gui/search/qakbot/comments |
| 任何运行 | https://any.run/malware-trends/qbot |
| 混合分析 | https://hybrid-analysis.com/search?query=tag%3Aqbot |
| 恶意软件 | https://bazaar.abuse.ch/browse/yara/win_qakbot/ |
| YARA by CAPE | https://github.com/ctxis/CAPE/blob/master/data/yara/CAPE/QakBot.yar |
| @ dark0pcodes工具 | https://github.com/dark0pcodes/qbot_helper |
| 实时推文 | https://twitter.com/search?q=%23Qakbot%20OR%20%23Qbot&src=typed_query&f=live |
| 威胁报告 | https://malpedia.caad.fkie.fraunhofer.de/details/win.qakbot |
| BlueLiv | https://community.blueliv.com/#!/discover?search=Qakbot |
参考文献:
https://twitter.com/1ZRR4H/status/1327365067298512900
https://twitter.com/VK_Intel/status/1323534149081272320
https://www.buguroo.com/zh-CN/labs/emotet-has-begun-distributing-the-qakbot-bank-malware
https://blog.malwarebytes.com/cybercrime/2020/11/qbot-delivered-via-malspam-campaign-exploiting-us-election-uncertainties/
https://blog.morphisec.com/qakbot-qbot-maldoc-two-new-techniques
https://www.group-ib.com/blog/prolock
https://twitter.com/abuse_ch/status/1301073144367771650?s=20
https://twitter.com/abuse_ch/status/1314087412050595841
https://fr3d.hk/blog/u-admin-show-tell
https://app.any.run/tasks/41746a3c-73be-420b-8eba-3c5282037455/
