Get best of the week

E, novamente, Qbot - uma nova linhagem de cavalos de Troia bancários



Descobrimos e fizemos a engenharia reversa de outra nova variedade de Qbot - malware complexo e amplamente conhecido que coleta dados que permitem cometer fraudes financeiras. Aqui estão alguns exemplos dos dados que o Qbot coleta: cookies do navegador, informações de certificado, pressionamentos de tecla, pares de senha e login e outras credenciais, além de dados de sessões abertas em aplicativos da web.

A equipe de pesquisa de segurança da Varonis respondeu a vários casos de infecções por Qbot em 2019, principalmente nos Estados Unidos. Parece que os desenvolvedores do Qbot não estavam ociosos: eles criaram novas linhagens com novas funcionalidades, melhorando simultaneamente a capacidade de impedir a detecção por equipes responsáveis ​​pela segurança da informação.

Descrevemos uma cepa anterior do Qbot e discutimos seu TTP (táticas, técnicas e procedimentos). A nova cepa difere da anterior em dois detalhes principais:

  • em vez de tentar adivinhar as senhas de um usuário do domínio, essa linhagem usa um usuário já comprometido para criar um mapa das pastas de rede disponíveis;
  • envia os dados da vítima para o servidor FTP, em vez de usar solicitações HTTP POST.

Detecção


Um de nossos clientes solicitou ajuda após notificar a plataforma de segurança cibernética da Varonis que a conta do usuário estava se comportando atipicamente e acessando um número incomum de nós da rede. Em seguida, o cliente chamou a atenção para os logs da solução antivírus no dispositivo a partir do qual esse acesso foi feito e notou notificações não processadas sobre o arquivo infectado que aparecia na mesma época.

Os arquivos brutos estavam na pasta temp do perfil do usuário e tinham as extensões .vbs e .zip .

A equipe forense da Varonis ajudou o usuário a recuperar amostras dos arquivos infectados e a equipe de pesquisa de segurança analisou e descobriu que essa era uma nova variação do Qbot .

Como ele trabalha


Lançamos o arquivo infectado em nosso laboratório e encontramos indicadores semelhantes de que ele era malicioso com os que estavam em nosso estudo anterior - implementação do processo “explorer.exe”, conexão com a mesma URL, os mesmos mecanismos para garantir presença constante no registro e no disco e a mesma cópia de substituição do arquivo com "calc.exe".
Essa tensão continha um arquivo de configuração criptografado, com a extensão incorreta ".dll". Usando uma análise dinâmica do processo explorer.exe, descobrimos que a chave para descriptografar o arquivo de configuração RC4 criptografado é o hash SHA1 da cadeia exclusiva que o malware cria para cada dispositivo (sabemos que esse não é um conjunto de caracteres aleatórios, como a variação anterior do Qbot criada mesma linha para o mesmo dispositivo).

Aqui estão os dados de configuração que decodificamos para o nosso dispositivo:



Esta configuração contém os seguintes dados:

  • tempo de instalação;
  • hora da última chamada de C2;
  • IP externo da vítima;
  • lista de pastas de rede cercadas pela vítima.

Fase I: Carregador de Inicialização


Nomes de arquivos: JVC_82633.vbs
SHA1: f38ed9fec9fe4e6451645724852aa2da9fce1be9
Como na versão anterior, essa variação do Qbot usou o arquivo VBS para baixar os principais módulos maliciosos.

Fase II: garantir presença constante no sistema e implementação em processos


Assim como na amostra anterior, o carregador de inicialização lança os módulos do kernel do malware e garante a constância de sua presença no sistema operacional. Esta versão se copia para
% Appdata% \ Roaming \ Microsoft \ {Cadeia Personalizada} em vez de% Appdata% \ Roaming \ {Cadeia Personalizada}, mas os valores da chave do Registro e as tarefas agendadas permanecem os mesmos.

A carga útil principal é incorporada em todos os processos ativos em execução em nome do usuário.

Fase III: roubo de dados - caminho para o servidor hacker


Depois de garantir a presença no sistema, o malware tenta se conectar ao servidor C2 usando o URI content.bigflimz.com. Esta versão coleta dados importantes para seus propósitos no computador da vítima e os envia via FTP usando as configurações de login e senha codificadas.

Este servidor continha dados criptografados coletados das vítimas, com o seguinte princípio de nomenclatura: “artic1e- * 6 caracteres e depois deles outros 6 dígitos * - * POSIX-time * .zip”.

Abrimos o servidor FTP especificado e encontramos esta pasta com o seguinte conteúdo:





Ainda não conseguimos descriptografar os arquivos zip para determinar quais dados foram roubados.

Recuperação e recuperação


Como encontramos apenas um dispositivo infectado, nossas recomendações foram:

  1. , , ;
  2. , , IP-, ;
  3. Varonis, .

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles