Get best of the week

Und wieder Qbot - eine neue Art von Banking-Trojanern



Wir haben eine weitere neue Art von Qbot entdeckt und rückentwickelt - komplexe, weithin bekannte Malware, die Daten sammelt, mit denen Sie Finanzbetrug begehen können. Hier einige Beispiele für die Daten, die Qbot sammelt: Browser-Cookies, Zertifikatinformationen, Tastenanschläge, Login-Passwort-Paare und andere Anmeldeinformationen sowie Daten aus offenen Sitzungen in Webanwendungen.

Das Sicherheitsforschungsteam von Varonis reagierte 2019 auf mehrere Fälle von Qbot-Infektionen, hauptsächlich in den USA. Es scheint, dass die Qbot-Entwickler nicht untätig waren: Sie haben neue Stämme mit neuen Funktionen erstellt und gleichzeitig die Fähigkeit verbessert, die Erkennung durch Teams zu verhindern, die für die Informationssicherheit verantwortlich sind.

Wir haben einen früheren Stamm von Qbot beschrieben und dessen TTP (Taktiken, Techniken und Verfahren) diskutiert. Die neue Sorte unterscheidet sich von der vorherigen in zwei Hauptdetails:

  • Anstatt zu versuchen, die Kennwörter eines Domänenbenutzers zu erraten, verwendet dieser Stamm einen bereits gefährdeten Benutzer, um eine Karte der verfügbaren Netzwerkordner zu erstellen.
  • Es sendet die Opferdaten an den FTP-Server, anstatt HTTP-POST-Anforderungen zu verwenden.

Erkennung


Einer unserer Kunden bat um Hilfe, nachdem er der Varonis Cybersecurity-Plattform mitgeteilt hatte, dass sich das Benutzerkonto atypisch verhält und auf eine ungewöhnliche Anzahl von Netzwerkknoten zugreift. Dann machte der Kunde auf die Protokolle der Antivirenlösung auf dem Gerät aufmerksam, von dem aus auf diesen Zugriff zugegriffen wurde, und bemerkte unverarbeitete Benachrichtigungen über die infizierte Datei, die ungefähr zur gleichen Zeit angezeigt wurden.

Die Rohdateien befanden sich im temporären Ordner des Benutzerprofils und hatten die Erweiterungen .vbs und .zip .

Das Varonis-Forensik-Team half dem Benutzer beim Abrufen von Proben der infizierten Dateien, und das Sicherheitsforschungsteam analysierte und stellte fest, dass dies eine neue Variante von Qbot war .

Wie arbeitet er?


Wir haben die infizierte Datei in unserem Labor gestartet und ähnliche Anzeichen dafür gefunden, dass sie mit denen in unserer vorherigen Studie schädlich war - Implementierung des Prozesses „explorer.exe“, Verbindung mit derselben URL, dieselben Mechanismen, um eine ständige Präsenz in der Registrierung sicherzustellen, und auf der Festplatte und dieselbe Ersatzkopie der Datei mit "calc.exe".
Dieser Stamm enthielt eine verschlüsselte Konfigurationsdatei mit der falschen Erweiterung ".dll". Mithilfe einer dynamischen Analyse des Prozesses explorer.exe haben wir festgestellt, dass der Schlüssel zum Entschlüsseln der verschlüsselten RC4-Konfigurationsdatei der SHA1-Hash der eindeutigen Zeichenfolge ist, die die Malware für jedes Gerät erstellt (wir wissen, dass dies kein zufälliger Zeichensatz ist, wie dies bei der vorherigen Qbot-Variante der Fall war gleiche Leitung für dasselbe Gerät).

Hier sind die Konfigurationsdaten, die wir für unser Gerät dekodiert haben:



Diese Konfiguration enthält die folgenden Daten:

  • Installationszeit;
  • Zeit des letzten Anrufs von C2;
  • externe IP des Opfers;
  • Liste der vom Opfer umgebenen Netzwerkordner.

Phase I: Bootloader


Dateinamen: JVC_82633.vbs
SHA1: f38ed9fec9fe4e6451645724852aa2da9fce1be9
Wie in der vorherigen Version verwendete diese Variante von Qbot die VBS-Datei, um die wichtigsten schädlichen Module herunterzuladen.

Phase II: Sicherstellung einer ständigen Präsenz im System und Implementierung in Prozessen


Genau wie im vorherigen Beispiel startet der Bootloader die Kernelmodule der Malware und stellt die Konstanz ihrer Anwesenheit im Betriebssystem sicher. Diese Version kopiert sich selbst in
% Appdata% \ Roaming \ Microsoft \ {Benutzerdefinierte Zeichenfolge} anstelle von% Appdata% \ Roaming \ {Benutzerdefinierte Zeichenfolge}, aber die Registrierungsschlüsselwerte und geplanten Aufgaben bleiben unverändert.

Die Hauptnutzlast ist in alle aktiven Prozesse eingebettet, die im Auftrag des Benutzers ausgeführt werden.

Phase III: Datendiebstahl - Pfad zum Hacker Server


Nachdem sichergestellt wurde, dass das System vorhanden ist, versucht die Malware, über den URI content.bigflimz.com eine Verbindung zu ihrem C2-Server herzustellen. Diese Version sammelt Daten, die für ihre Zwecke wichtig sind, vom Computer des Opfers und sendet sie über FTP mit fest codierten Anmelde- und Kennworteinstellungen.

Dieser Server enthielt verschlüsselte Daten, die von Opfern mit dem folgenden Namensprinzip gesammelt wurden: „Artikel 1 - 6 Zeichen und danach weitere 6 Ziffern * - * POSIX-Zeit * .zip“.

Wir haben den angegebenen FTP-Server geöffnet und diesen Ordner mit den folgenden Inhalten gefunden:





Wir konnten die Zip-Dateien noch nicht entschlüsseln, um festzustellen, welche Daten gestohlen wurden.

Wiederherstellung und Wiederherstellung


Da wir nur ein infiziertes Gerät gefunden haben, lauteten unsere Empfehlungen:

  1. , , ;
  2. , , IP-, ;
  3. Varonis, .

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles