Get best of the week

Et encore une fois Qbot - une nouvelle souche de cheval de Troie bancaire



Nous avons découvert et inversé l'ingénierie d'une autre nouvelle souche de Qbot, un logiciel malveillant complexe et largement connu qui collecte des données qui vous permet de commettre une fraude financière. Voici des exemples de données collectées par Qbot: cookies de navigateur, informations de certificat, frappes, paires login-mot de passe et autres informations d'identification, ainsi que des données de sessions ouvertes dans des applications Web.

L'équipe de recherche en sécurité de Varonis a répondu à plusieurs cas d'infection par Qbot en 2019, principalement aux États-Unis. Il semble que les développeurs de Qbot n'étaient pas inactifs: ils ont créé de nouvelles souches avec de nouvelles fonctionnalités, améliorant simultanément la capacité d'empêcher la détection par les équipes responsables de la sécurité des informations.

Nous avons décrit une souche antérieure de Qbot et discuté de son TTP (tactiques, techniques et procédures). La nouvelle souche diffère de la précédente sur deux points principaux:

  • au lieu d'essayer de deviner les mots de passe d'un utilisateur de domaine, cette souche utilise un utilisateur déjà compromis pour créer une carte des dossiers réseau disponibles;
  • il envoie les données de la victime au serveur FTP, au lieu d'utiliser des requêtes HTTP POST.

Détection


Un de nos clients a demandé de l'aide après une notification de la plateforme de cybersécurité Varonis que le compte utilisateur se comporte de manière atypique et donne accès à un nombre inhabituel de nœuds de réseau. Ensuite, le client a attiré l'attention sur les journaux de la solution antivirus sur l'appareil à partir duquel cet accès a été effectué et a remarqué des alertes non traitées sur le fichier infecté qui sont apparues à peu près au même moment.

Les fichiers bruts se trouvaient dans le dossier temporaire du profil utilisateur et avaient les extensions .vbs et .zip .

L'équipe de criminalistique de Varonis a aidé l'utilisateur à récupérer des échantillons des fichiers infectés, et l'équipe de recherche en sécurité a analysé et constaté qu'il s'agissait d'une nouvelle variante de Qbot .

Comment fonctionne-t-il


Nous avons lancé le fichier infecté dans notre laboratoire et trouvé des indicateurs similaires qu'il était malveillant avec ceux qui étaient dans notre étude précédente - mise en œuvre du processus "explorer.exe", connexion à la même URL, les mêmes mécanismes pour assurer une présence constante dans le registre et sur le disque et la même copie de remplacement du fichier avec "calc.exe".
Cette souche contenait un fichier de configuration crypté, avec l'extension incorrecte ".dll". En utilisant une analyse dynamique du processus explorer.exe, nous avons constaté que la clé pour déchiffrer le fichier de configuration RC4 chiffré est le hachage SHA1 de la chaîne unique que le malware crée pour chaque appareil (nous savons que ce n'est pas un jeu de caractères aléatoire, comme la précédente variation Qbot créée même ligne pour le même appareil).

Voici les données de configuration que nous avons décodées pour notre appareil:



Cette configuration contient les données suivantes:

  • temps d'installation;
  • heure du dernier appel de C2;
  • IP externe de la victime;
  • liste des dossiers réseau entourés par la victime.

Phase I: Bootloader


Noms de fichiers: JVC_82633.vbs
SHA1: f38ed9fec9fe4e6451645724852aa2da9fce1be9
Comme la version précédente, cette variante de Qbot utilisait le fichier VBS pour télécharger les principaux modules malveillants.

Phase II: assurer une présence constante dans le système et une implémentation dans les processus


Tout comme l'exemple précédent, le chargeur de démarrage lance les modules du noyau du malware et garantit la constance de leur présence dans le système d'exploitation. Cette version se copie dans
% Appdata% \ Roaming \ Microsoft \ {Ligne arbitraire} au lieu de% Appdata% \ Roaming \ {Ligne arbitraire}, mais les valeurs des clés de registre et des tâches planifiées sont restées identiques.

La charge utile principale est intégrée dans tous les processus actifs exécutés au nom de l'utilisateur.

Phase III: vol de données - chemin vers le serveur pirate


Après avoir assuré la présence dans le système, le malware essaie de se connecter à son serveur C2 en utilisant l'URI content.bigflimz.com. Cette version collecte des données importantes à ses fins sur l'ordinateur de la victime et les envoie via FTP en utilisant des paramètres de connexion et de mot de passe codés en dur.

Ce serveur contenait des données chiffrées collectées auprès des victimes, avec le principe de dénomination suivant: «artic1e- * 6 caractères et après eux 6 autres chiffres * - * POSIX-time * .zip».

Nous avons ouvert le serveur FTP spécifié et trouvé ce dossier avec le contenu suivant:





Nous n'avons pas encore pu décrypter les fichiers zip pour déterminer quelles données ont été volées.

Récupération et récupération


Comme nous n'avons trouvé qu'un seul appareil infecté, nos recommandations étaient les suivantes:

  1. , , ;
  2. , , IP-, ;
  3. Varonis, .

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles