Qbot银行木马分析

栏目: 编程工具 · 发布时间: 5年前

内容简介:Qbot银行木马在2009年被发现后一直在不断更新。这款信息窃取恶意软件被用来攻击位于全球各地的政府和企业,以窃取用户数据和银行凭证,并使用不断发展的传播兼职、命令行基础设施和反分析技术。本文介绍JASK Special Operations (SpecOps)团队如何对基于钓鱼攻击活动的Qbot恶意感染活动进行分析。2019年3月底,研究人员发现一起鱼叉式钓鱼攻击活动导致了Qbot感染的相关事件。在攻击中,攻击者使用本地Windows工具来绕过传播安全技术的检测,以达到安装信息窃取木马的目的。基于对该攻击

Qbot银行木马在2009年被发现后一直在不断更新。这款信息窃取恶意软件被用来攻击位于全球各地的政府和企业,以窃取用户数据和银行凭证,并使用不断发展的传播兼职、命令行基础设施和反分析技术。

本文介绍JASK Special Operations (SpecOps)团队如何对基于钓鱼攻击活动的Qbot恶意感染活动进行分析。

2019年3月底,研究人员发现一起鱼叉式钓鱼攻击活动导致了Qbot感染的相关事件。在攻击中,攻击者使用本地Windows工具来绕过传播安全技术的检测,以达到安装信息窃取木马的目的。基于对该攻击活动、恶意软件和相关基础设施的分析,研究人员认为攻击与最新的Qbot攻击活动相关,尤其是在传播机制、stage 1下载器和stage 2恶意软件上都有所重叠。Qbot感染的传播机制使用的是鱼叉式钓鱼攻击,目标用户接收了一封含有到在线文档链接的邮件。但该邮件是一封对已有邮件的回复。这种技术在最新的Emotet活动中也有使用。

Qbot银行木马分析

图1: 传播Qbot恶意软件的到VBS Dropper的OneDrive链接的邮件

该链接会启动Google Chrome连接到Microsoft OneDrive的位置来提取含有Operating Agreement 03192019b02.doc.vbs的zip文件,该文件是stage 1的下载器。

Qbot银行木马分析

该链接使用Chrome来从位于ssj5mq[.]bn[.]files[.]1drv[.]com(解析IP为13[.]107[.]42[.]12)的远程Microsoft OneDrive位置来提取ZIP文件,其中vbs文件是stage 1的下载器。通过审计Windows event ID 4688,研究人员发现了这一过程。

Qbot银行木马分析

Payload分析

释放期会执行stage 2下载。Qbot恶意软件是使用内置的Windows BITSAdmin 工具(bitsadmin.exe)来下载的。BITS代表Background Intelligent Transfer Service(后台智能传输服务),是用来管理到web服务器或SMB文件共享的文件传输的。

Qbot银行木马分析

Qbot银行木马分析

图2: BITS User-Agent字符串查询结果

Qbot银行木马分析

图3: BITS User-Agent字符串ASOC信号逻辑

August.png (其实是一个exe文件)是从hxxp://apps[.]theandroidstore[.]tv下载的,也是与Qbot银行木马相关的stage 2的下载。Winevent logs提供了在受害者机器上完整的进程活动,也提供了payload提取的证据。下面可以的进程活动通过Windows事件代码为4688的日志通过命令行活动表示。在该活动中,研究人员可以看到stage 2阶段的恶意软件保存在重命名的新目录中。该活动以在终端上创建新的定时任务来完成驻留为结果。

Qbot银行木马分析 Qbot银行木马分析

攻击者基础设施

Qbot攻击活动的Maltego可视化图如下所示:

Qbot银行木马分析

图4: Qbot基础设施的Maltego可视化图

IOC

ssj5mq[.]bn[.]files[.]1drv[.]com

13[.]107[.]42[.]12

hxxp://apps[.]theandroidstore[.]tv

192[.]185[.]41[.]190

SHA256: 869985182924ca7548289156c*0612a9f171c7e098b04550dbf62ab8f4ebd9 (august.png)

更多参见: https://jask.com/wp-content/uploads/2019/04/Uncovering-Qbot-v6.pdf


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

一本书读懂大数据

一本书读懂大数据

黄颖 / 吉林出版集团有限责任公司 / 2014-12-1

进入大数据时代,让数据开口说话将成为司空见惯的事情,书中将从大数据时代的前因后果讲起,全面分析大数据时代的特征、企业实践的案例、大数据的发展方向、未来的机遇和挑战等内容,展现一个客观立体、自由开放的大数据时代。一起来看看 《一本书读懂大数据》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

URL 编码/解码
URL 编码/解码

URL 编码/解码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具