Get best of the week

Dan lagi Qbot - strain baru Trojan perbankan



Kami menemukan dan merekayasa balik strain baru Qbot, malware kompleks yang dikenal luas yang mengumpulkan data yang memungkinkan Anda melakukan penipuan finansial. Berikut adalah contoh data yang dikumpulkan Qbot: cookie browser, informasi sertifikat, penekanan tombol, pasangan kata sandi login, dan kredensial lainnya, serta data dari sesi terbuka di aplikasi web.

Tim peneliti keamanan Varonis menanggapi beberapa kasus infeksi Qbot pada 2019, terutama di Amerika Serikat. Tampaknya pengembang Qbot tidak menganggur: mereka menciptakan strain baru dengan fungsionalitas baru, sekaligus meningkatkan kemampuan untuk mencegah deteksi oleh tim yang bertanggung jawab atas keamanan informasi.

Kami menggambarkan strain Qbot sebelumnya dan membahas TTP (taktik, teknik, dan prosedur). Strain baru berbeda dari yang sebelumnya dalam dua detail utama:

  • alih-alih mencoba menebak kata sandi pengguna domain, jenis ini menggunakan pengguna yang sudah dikompromikan untuk membuat peta folder jaringan yang tersedia;
  • mengirimkan data korban ke server FTP, alih-alih menggunakan permintaan HTTP POST.

Deteksi


Salah satu pelanggan kami meminta bantuan setelah memberi tahu platform cybersecurity Varonis bahwa akun pengguna berperilaku tidak lazim dan mengakses sejumlah node jaringan yang tidak biasa. Kemudian pelanggan memperhatikan log dari solusi anti-virus pada perangkat dari mana akses ini dibuat, dan melihat pemberitahuan yang belum diproses tentang file yang terinfeksi yang muncul pada waktu yang hampir bersamaan.

File mentah ada di folder temp dari profil pengguna dan memiliki ekstensi .vbs dan .zip .

Tim forensik Varonis membantu pengguna mengambil sampel file yang terinfeksi, dan tim peneliti keamanan menganalisis dan menemukan bahwa ini adalah variasi baru Qbot .

Bagaimana dia bekerja?


Kami meluncurkan file yang terinfeksi di laboratorium kami dan menemukan indikator serupa bahwa itu berbahaya dengan yang ada dalam penelitian kami sebelumnya - implementasi proses "explorer.exe", koneksi ke URL yang sama, mekanisme yang sama untuk memastikan kehadiran konstan dalam registri dan pada disk, dan salinan pengganti file yang sama dengan "calc.exe".
Strain ini berisi file konfigurasi terenkripsi, dengan ekstensi yang salah ".dll". Menggunakan analisis dinamis dari proses explorer.exe, kami menemukan bahwa kunci untuk mendekripsi file konfigurasi RC4 terenkripsi adalah hash SHA1 dari string unik yang dibuat malware untuk setiap perangkat (kami tahu bahwa ini bukan set karakter acak, seperti variasi Qbot sebelumnya dibuat baris yang sama untuk perangkat yang sama).

Berikut adalah data konfigurasi yang kami dekodekan untuk perangkat kami:



Konfigurasi ini berisi data berikut:

  • waktu pemasangan;
  • waktu panggilan terakhir dari C2;
  • IP eksternal korban;
  • daftar folder jaringan yang dikelilingi oleh korban.

Fase I: Bootloader


Nama file: JVC_82633.vbs
SHA1: f38ed9fec9fe4e6451645724852aa2da9fce1be9
Seperti versi sebelumnya, variasi Qbot ini menggunakan file VBS untuk mengunduh modul jahat utama.

Fase II: memastikan kehadiran konstan dalam sistem dan implementasi dalam proses


Sama seperti sampel sebelumnya, bootloader meluncurkan modul kernel malware dan memastikan keteguhan kehadiran mereka di OS. Versi ini menyalin dirinya sendiri ke
% Appdata% \ Roaming \ Microsoft \ {Arbitrary line} alih-alih% Appdata% \ Roaming \ {Arbitrary line}, tetapi nilai kunci registri dan tugas terjadwal tetap sama.

Payload utama tertanam dalam semua proses aktif yang berjalan atas nama pengguna.

Fase III: Pencurian Data - Jalur ke Peretas Server


Setelah memastikan keberadaannya di sistem, malware mencoba menyambung ke server C2-nya menggunakan konten URI.bigflimz.com. Versi ini mengumpulkan data yang penting untuk keperluannya dari komputer korban dan mengirimkannya melalui FTP menggunakan login dan kata sandi berkode keras.

Server ini berisi data terenkripsi yang dikumpulkan dari para korban, dengan prinsip penamaan berikut: "artic1e- * 6 karakter dan setelahnya 6 digit lainnya * - * POSIX-time * .zip".

Kami membuka server FTP yang ditentukan dan menemukan folder ini dengan konten berikut:





Kami belum dapat mendekripsi file zip untuk menentukan data apa yang telah dicuri.

Pemulihan dan pemulihan


Karena kami hanya menemukan satu perangkat yang terinfeksi, rekomendasi kami adalah:

  1. , , ;
  2. , , IP-, ;
  3. Varonis, .

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles