Qbot惡意軟件在針對(duì)企業(yè)的新攻擊中重新出現(xiàn)

admin

Qbot惡意軟件在針對(duì)企業(yè)的新攻擊中重新出現(xiàn)

這種新的、持久且難以檢測(cè)的Qbot版本旨在竊取財(cái)務(wù)信息。
十年前的Qbot金融惡意軟件在針對(duì)迄今已感染數(shù)千個(gè)系統(tǒng)的企業(yè)的新攻擊中重新出現(xiàn)了一個(gè)改進(jìn)版本。數(shù)據(jù)安全解決方案提供商Varonis的研究人員在一位客戶通知他們計(jì)算機(jī)上的可疑活動(dòng)后發(fā)現(xiàn)了這一攻擊。罪魁禍?zhǔn)资且环N新型qbot病毒的感染，這種病毒也被稱為qakbot，正試圖傳播到網(wǎng)絡(luò)上的其他系統(tǒng)。
Qbot是過去十年中最成功的惡意軟件家族之一，部分原因是它的源代碼對(duì)網(wǎng)絡(luò)犯罪分子是可用的，因此可以很容易地修改和擴(kuò)展。這個(gè)惡意程序最初是一個(gè)用來竊取網(wǎng)上銀行憑證的特洛伊木馬程序，但在過去幾年中得到了許多改進(jìn)。
有趣的是，Qbot是一種半多態(tài)的威脅，因?yàn)樗�的命令和控制服�?wù)器定期對(duì)代碼和配置進(jìn)行重新加擾，以避免基于簽名的防病毒檢測(cè)。這種威脅還具有類似蠕蟲的功能，允許它通過暴力強(qiáng)制Windows域憑據(jù)在企業(yè)網(wǎng)絡(luò)中橫向移動(dòng)。
新的Qbot攻擊如何工作
在Varonis調(diào)查的攻擊中，最初的安裝程序或“Dropper”很可能以電子郵件附件的形式發(fā)送，擴(kuò)展名為.doc.vbs。vbs是Windows本機(jī)支持的腳本語言。
如果執(zhí)行，惡意腳本將使用Windows Bitsadmin命令行工具從命令和控制服務(wù)器下載Qbot加載器。以前的Qbot版本使用了PowerShell，但由于PowerShell已成為常見的惡意軟件傳遞方法，因此它的使用在企業(yè)系統(tǒng)上受到密切監(jiān)控�！眻�(zhí)行核心惡意軟件的加載程序有多個(gè)版本，即使在執(zhí)行之后也會(huì)不斷更新，”Varonis的研究人員在他們的報(bào)告中說。
受害者收到的版本取決于vbs文件中硬編碼的參數(shù)，因此針對(duì)不同類型的用戶和組織可能會(huì)有不同的電子郵件活動(dòng)。此外，Varonis還發(fā)現(xiàn)加載程序使用8個(gè)不同的代碼簽名證書進(jìn)行了數(shù)字簽名，這些證書很可能是從不同實(shí)體竊取的。
如果一個(gè)文件是數(shù)字簽名的，這并不意味著它不是惡意的，就像一個(gè)網(wǎng)站使用HTTPS一樣，這并不意味著它沒有托管惡意軟件或釣魚網(wǎng)頁。然而，數(shù)字簽名的文件在Windows中觸發(fā)的警告不那么可怕，并且有時(shí)被配置不好的端點(diǎn)安全代理或文件白名單解決方案自動(dòng)信任。
安裝后，Qbot將創(chuàng)建計(jì)劃任務(wù)，并將條目添加到系統(tǒng)注冊(cè)表以實(shí)現(xiàn)持久性。然后，惡意軟件開始記錄用戶鍵入的所有擊鍵，竊取瀏覽器中保存的憑據(jù)和身份驗(yàn)證cookie，并將惡意代碼注入其他進(jìn)程以搜索和竊取與財(cái)務(wù)相關(guān)的文本字符串。
Varonis訪問了攻擊者使用的一個(gè)命令和控制服務(wù)器，并找到顯示2726個(gè)唯一受害者IP地址的日志。在美國有1700多人，但在加拿大、英國、德國、法國、巴西、南非、印度、中國和俄羅斯也發(fā)現(xiàn)了受害者。
由于一個(gè)組織內(nèi)的計(jì)算機(jī)通常通過一個(gè)共享的IP地址訪問因特網(wǎng)，研究人員認(rèn)為，單個(gè)受感染系統(tǒng)的數(shù)量要大得多。此外，日志顯示，許多被破壞的系統(tǒng)安裝了來自不同供應(yīng)商的防病毒程序，再次突出了Qbot規(guī)避防病毒檢測(cè)的能力。