Get best of the week

再次Qbot-一种新型的银行木马



我们发现了Qbot并对其进行了反向工程,这是一种复杂的广为人知的恶意软件,该恶意软件会收集可让您进行财务欺诈的数据。以下是Qbot收集的数据示例:浏览器cookie,证书信息,击键,登录密码对和其他凭据,以及来自Web应用程序中打开会话的数据。

Varonis安全研究团队对2019年发生的几起Qbot感染病例做出了反应,主要是在美国。 Qbot开发人员似乎并没有闲着:他们创建了具有新功能的新产品,同时提高了防止负责信息安全的团队进行检测的能力。

我们描述了一个较早的Qbot系列,并讨论了其TTP(策略,技术和过程)。新菌株与前一个菌株在两个主要方面不同:

  • 这种压力不是试图猜测域用户的密码,而是使用已经受到威胁的用户来构建可用网络文件夹的映射。
  • 它将受害者数据发送到FTP服务器,而不是使用HTTP POST请求。

检测


在Varonis网络安全平台发出有关用户帐户的行为异常并提供对异常数量的网络节点的访问权限 的通知后,我们的一位客户寻求帮助然后,客户提请注意进行此访问的设备上防病毒解决方案的日志,并注意到大约在同一时间出现了有关受感染文件的未处理通知。

原始文件位于用户配置文件的temp文件夹中,并具有扩展名.vbs.zip

Varonis取证小组帮助用户检索了受感染文件的样本,安全研究小组进行了分析,发现这是Qbot新变种

他如何工作


我们在实验室中启动了受感染的文件,并发现了与先前研究中的文件类似的恶意软件指标-“ explorer.exe”过程的实现,与同一URL的连接,确保注册表中不断存在的相同机制以及在磁盘上,并且文件的替换副本与“ calc.exe”相同。
此病毒包含加密的配置文件,扩展名不正确。通过对explorer.exe进程进行动态分析,我们发现解密加密的RC4配置文件的密钥是恶意软件为每个设备创建的唯一字符串的SHA1哈希(我们知道这不是随机字符集,因为先前的Qbot变体已创建)同一设备的同一行)。

这是我们为设备解码的配置数据:



此配置包含以下数据:

  • 安装时间;
  • C2最后一次通话的时间;
  • 受害者的外部知识产权;
  • 受害者包围的网络文件夹列表。

第一阶段:引导加载程序


文件名:JVC_82633.vbs
SHA1:f38ed9fec9fe4e6451645724852aa2da9fce1be9
与以前的版本一样,此Qbot版本使用VBS文件下载了主要的恶意模块。

第二阶段:确保在系统中持续存在并在流程中实施


就像前面的示例一样,引导加载程序会启动恶意软件的内核模块,并确保其在操作系统中的存在不变性。此版本将其自身复制到
%Appdata%\ Roaming \ Microsoft \ {任意行},而不是%Appdata%\ Roaming \ {任意行},但是注册表项和计划任务的值保持相同。

主有效负载嵌入在代表用户运行的所有活动进程中。

第三阶段:数据盗窃-黑客服务器的路径


在确保系统中存在该恶意软件之后,该恶意软件尝试使用URI content.bigflimz.com连接到其C2服务器。此版本从受害者的计算机收集对其目的重要的数据,并使用硬编码的登录名和密码通过FTP发送。

该服务器包含从受害者收集的加密数据,其命名原则如下:“ artic1e- * 6个字符,其后还有6个数字*-* POSIX-time * .zip”。

我们打开了指定的FTP服务器,并找到了包含以下内容的文件夹:





我们尚未能够解密zip文件来确定哪些数据已被盗。

恢复与恢复


由于我们仅发现一台受感染的设备,因此我们的建议是:

  1. , , ;
  2. , , IP-, ;
  3. Varonis, .

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles