Qbot银行木马在2009年被发现后一直在不断更新。这款信息窃取恶意软件被用来攻击位于全球各地的政府和企业,以窃取用户数据和银行凭证,并使用不断发展的传播兼职、命令行基础设施和反分析技术。
本文介绍JASK Special Operations (SpecOps)团队如何对基于钓鱼攻击活动的Qbot恶意感染活动进行分析。
2019年3月底,研究人员发现一起鱼叉式钓鱼攻击活动导致了Qbot感染的相关事件。在攻击中,攻击者使用本地Windows工具来绕过传播安全技术的检测,以达到安装信息窃取木马的目的。基于对该攻击活动、恶意软件和相关基础设施的分析,研究人员认为攻击与最新的Qbot攻击活动相关,尤其是在传播机制、stage 1下载器和stage 2恶意软件上都有所重叠。Qbot感染的传播机制使用的是鱼叉式钓鱼攻击,目标用户接收了一封含有到在线文档链接的邮件。但该邮件是一封对已有邮件的回复。这种技术在最新的Emotet活动中也有使用。
图1: 传播Qbot恶意软件的到VBS Dropper的OneDrive链接的邮件
该链接会启动Google Chrome连接到Microsoft OneDrive的位置来提取含有Operating Agreement 03192019b02.doc.vbs的zip文件,该文件是stage 1的下载器。
该链接使用Chrome来从位于ssj5mq[.]bn[.]files[.]1drv[.]com(解析IP为13[.]107[.]42[.]12)的远程Microsoft OneDrive位置来提取ZIP文件,其中vbs文件是stage 1的下载器。通过审计Windows event ID 4688,研究人员发现了这一过程。
释放期会执行stage 2下载。Qbot恶意软件是使用内置的Windows BITSAdmin 工具(bitsadmin.exe)来下载的。BITS代表Background Intelligent Transfer Service(后台智能传输服务),是用来管理到web服务器或SMB文件共享的文件传输的。
图2: BITS User-Agent字符串查询结果
图3: BITS User-Agent字符串ASOC信号逻辑
August.png (其实是一个exe文件)是从hxxp://apps[.]theandroidstore[.]tv下载的,也是与Qbot银行木马相关的stage 2的下载。Winevent logs提供了在受害者机器上完整的进程活动,也提供了payload提取的证据。下面可以的进程活动通过Windows事件代码为4688的日志通过命令行活动表示。在该活动中,研究人员可以看到stage 2阶段的恶意软件保存在重命名的新目录中。该活动以在终端上创建新的定时任务来完成驻留为结果。
Qbot攻击活动的Maltego可视化图如下所示:
图4: Qbot基础设施的Maltego可视化图
ssj5mq[.]bn[.]files[.]1drv[.]com
13[.]107[.]42[.]12
hxxp://apps[.]theandroidstore[.]tv
192[.]185[.]41[.]190
SHA256: 869985182924ca7548289156c***0612a9f171c7e098b04550dbf62ab8f4ebd9 (august.png)
更多参见:https://jask.com/wp-content/uploads/2019/04/Uncovering-Qbot-v6.pdf
本文作者:ang010ela
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/105677.html