Get best of the week

ومرة أخرى Qbot - سلالة جديدة من طروادة المصرفية



اكتشفنا وعكسنا سلالة جديدة أخرى من Qbot ، وهو برنامج ضار معقد ومعروف على نطاق واسع يجمع البيانات التي تسمح لك بارتكاب احتيال مالي. فيما يلي بعض الأمثلة على البيانات التي يجمعها Qbot: ملفات تعريف ارتباط المتصفح ، ومعلومات الشهادة ، وضغطات المفاتيح ، وأزواج تسجيل الدخول وكلمة المرور وبيانات الاعتماد الأخرى ، بالإضافة إلى البيانات من الجلسات المفتوحة في تطبيقات الويب.

رد فريق أبحاث الأمن Varonis على العديد من حالات عدوى Qbot في عام 2019 ، بشكل رئيسي في الولايات المتحدة. يبدو أن مطوري Qbot لم يكونوا في وضع الخمول: لقد خلقوا سلالات جديدة بوظائف جديدة ، مما أدى في الوقت نفسه إلى تحسين القدرة على منع الاكتشاف من قبل الفرق المسؤولة عن أمن المعلومات.

وصفنا سلالة سابقة من Qbot وناقشنا TTP (التكتيكات والتقنيات والإجراءات). تختلف السلالة الجديدة عن السلالة السابقة في تفصيلين رئيسيين:

  • بدلاً من محاولة تخمين كلمات مرور مستخدم المجال ، تستخدم هذه السلالة مستخدمًا تم اختراقه بالفعل لإنشاء خريطة لمجلدات الشبكة المتاحة ؛
  • يرسل بيانات الضحية إلى خادم FTP ، بدلاً من استخدام طلبات HTTP POST.

كشف


طلب أحد عملائنا المساعدة بعد إشعار من منصة Varonis للأمن السيبراني بأن حساب المستخدم يتصرف بشكل غير نمطي ويوفر الوصول إلى عدد غير معتاد من عقد الشبكة. ثم لفت العميل الانتباه إلى سجلات حل مكافحة الفيروسات على الجهاز الذي تم إجراء هذا الوصول إليه ، ولاحظ تنبيهات غير معالجة حول الملف المصاب الذي ظهر في نفس الوقت تقريبًا.

كانت الملفات الأولية في المجلد المؤقت لملف تعريف المستخدم ، وكان بها الامتدادات .vbs و .zip .

ساعد فريق الطب الشرعي Varonis المستخدم في استرداد عينات من الملفات المصابة ، وقام فريق البحث الأمني ​​بتحليلها ووجد أن هذا هو شكل جديد من Qbot .

كيف يعمل


أطلقنا الملف المصاب في مختبرنا ووجدنا مؤشرات مشابهة على أنه ضار مع تلك التي كانت في دراستنا السابقة - تنفيذ عملية "explorer.exe" ، والاتصال بعنوان URL نفسه ، والآليات نفسها لضمان التواجد المستمر في التسجيل و على القرص ، ونفس النسخة البديلة للملف بـ "calc.exe".
احتوت هذه السلالة على ملف تكوين مشفر ، بامتداد "dll" غير صحيح. باستخدام التحليل الديناميكي لعملية EXPLORER.EXE ، وجدنا أن مفتاح فك تشفير ملف التكوين RC4 المشفر هو تجزئة SHA1 للسلسلة الفريدة التي تنشئها البرامج الضارة لكل جهاز (نحن نعلم أن هذه ليست مجموعة أحرف عشوائية ، كما تم إنشاء اختلاف Qbot السابق نفس الخط لنفس الجهاز).

فيما يلي بيانات التكوين التي تم فك تشفيرها لجهازنا:



يحتوي هذا التكوين على البيانات التالية:

  • وقت التثبيت ؛
  • وقت المكالمة الأخيرة من C2 ؛
  • IP الخارجي للضحية ؛
  • قائمة مجلدات الشبكة محاطة بالضحية.

المرحلة الأولى: Bootloader


أسماء الملفات: JVC_82633.vbs
SHA1: f38ed9fec9fe4e6451645724852aa2da9fce1be9
مثل الإصدار السابق ، استخدم هذا الاختلاف في Qbot ملف VBS لتنزيل الوحدات الضارة الرئيسية.

المرحلة الثانية: ضمان وجود مستمر في النظام وتنفيذها في العمليات


تمامًا مثل العينة السابقة ، يقوم برنامج bootloader بتشغيل وحدات kernel من البرامج الضارة ويضمن ثبات وجودها في نظام التشغيل. ينسخ هذا الإصدار نفسه إلى
٪ Appdata٪ \ Roaming \ Microsoft \ {Arbitrary line} بدلاً من٪ Appdata٪ \ Roaming \ {Arbitrary line} ، لكن قيم مفاتيح التسجيل والمهام المجدولة ظلت متطابقة.

يتم تضمين الحمولة الرئيسية في جميع العمليات النشطة التي تعمل نيابة عن المستخدم.

المرحلة الثالثة: سرقة البيانات - المسار إلى خادم هاكر


بعد التأكد من التواجد في النظام ، تحاول البرامج الضارة الاتصال بخادم C2 باستخدام URI content.bigflimz.com. يجمع هذا الإصدار البيانات المهمة لأغراضه من كمبيوتر الضحية ويرسلها عبر بروتوكول نقل الملفات باستخدام إعدادات تسجيل الدخول وكلمة المرور المشفرة.

يحتوي هذا الخادم على بيانات مشفرة تم جمعها من الضحايا ، مع مبدأ التسمية التالي: "artic1e- * 6 أحرف وبعدها 6 أرقام أخرى * - * POSIX-time * .zip".

لقد فتحنا خادم FTP المحدد ووجدنا هذا المجلد بالمحتويات التالية:





لم نتمكن حتى الآن من فك تشفير الملفات المضغوطة لتحديد البيانات التي تمت سرقتها.

الانتعاش والانتعاش


نظرًا لأننا وجدنا جهازًا واحدًا مصابًا ، كانت توصياتنا:

  1. , , ;
  2. , , IP-, ;
  3. Varonis, .

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles