Qbot银行木马分析

栏目: 编程工具 · 发布时间: 5年前

内容简介:Qbot银行木马在2009年被发现后一直在不断更新。这款信息窃取恶意软件被用来攻击位于全球各地的政府和企业,以窃取用户数据和银行凭证,并使用不断发展的传播兼职、命令行基础设施和反分析技术。本文介绍JASK Special Operations (SpecOps)团队如何对基于钓鱼攻击活动的Qbot恶意感染活动进行分析。2019年3月底,研究人员发现一起鱼叉式钓鱼攻击活动导致了Qbot感染的相关事件。在攻击中,攻击者使用本地Windows工具来绕过传播安全技术的检测,以达到安装信息窃取木马的目的。基于对该攻击

Qbot银行木马在2009年被发现后一直在不断更新。这款信息窃取恶意软件被用来攻击位于全球各地的政府和企业,以窃取用户数据和银行凭证,并使用不断发展的传播兼职、命令行基础设施和反分析技术。

本文介绍JASK Special Operations (SpecOps)团队如何对基于钓鱼攻击活动的Qbot恶意感染活动进行分析。

2019年3月底,研究人员发现一起鱼叉式钓鱼攻击活动导致了Qbot感染的相关事件。在攻击中,攻击者使用本地Windows工具来绕过传播安全技术的检测,以达到安装信息窃取木马的目的。基于对该攻击活动、恶意软件和相关基础设施的分析,研究人员认为攻击与最新的Qbot攻击活动相关,尤其是在传播机制、stage 1下载器和stage 2恶意软件上都有所重叠。Qbot感染的传播机制使用的是鱼叉式钓鱼攻击,目标用户接收了一封含有到在线文档链接的邮件。但该邮件是一封对已有邮件的回复。这种技术在最新的Emotet活动中也有使用。

Qbot银行木马分析

图1: 传播Qbot恶意软件的到VBS Dropper的OneDrive链接的邮件

该链接会启动Google Chrome连接到Microsoft OneDrive的位置来提取含有Operating Agreement 03192019b02.doc.vbs的zip文件,该文件是stage 1的下载器。

Qbot银行木马分析

该链接使用Chrome来从位于ssj5mq[.]bn[.]files[.]1drv[.]com(解析IP为13[.]107[.]42[.]12)的远程Microsoft OneDrive位置来提取ZIP文件,其中vbs文件是stage 1的下载器。通过审计Windows event ID 4688,研究人员发现了这一过程。

Qbot银行木马分析

Payload分析

释放期会执行stage 2下载。Qbot恶意软件是使用内置的Windows BITSAdmin 工具(bitsadmin.exe)来下载的。BITS代表Background Intelligent Transfer Service(后台智能传输服务),是用来管理到web服务器或SMB文件共享的文件传输的。

Qbot银行木马分析

Qbot银行木马分析

图2: BITS User-Agent字符串查询结果

Qbot银行木马分析

图3: BITS User-Agent字符串ASOC信号逻辑

August.png (其实是一个exe文件)是从hxxp://apps[.]theandroidstore[.]tv下载的,也是与Qbot银行木马相关的stage 2的下载。Winevent logs提供了在受害者机器上完整的进程活动,也提供了payload提取的证据。下面可以的进程活动通过Windows事件代码为4688的日志通过命令行活动表示。在该活动中,研究人员可以看到stage 2阶段的恶意软件保存在重命名的新目录中。该活动以在终端上创建新的定时任务来完成驻留为结果。

Qbot银行木马分析 Qbot银行木马分析

攻击者基础设施

Qbot攻击活动的Maltego可视化图如下所示:

Qbot银行木马分析

图4: Qbot基础设施的Maltego可视化图

IOC

ssj5mq[.]bn[.]files[.]1drv[.]com

13[.]107[.]42[.]12

hxxp://apps[.]theandroidstore[.]tv

192[.]185[.]41[.]190

SHA256: 869985182924ca7548289156c*0612a9f171c7e098b04550dbf62ab8f4ebd9 (august.png)

更多参见: https://jask.com/wp-content/uploads/2019/04/Uncovering-Qbot-v6.pdf


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

编写可维护的JavaScript

编写可维护的JavaScript

扎卡斯 / 李晶、郭凯、张散集 / 人民邮电出版社 / 2013-4 / 55.00元

《编写可维护的JavaScript》向开发人员阐述了如何在团队开发中编写具备高可维护性的JavaScript代码,书中详细说明了作为团队一分子,应该怎么写JavaScript。《编写可维护的JavaScript》内容涵盖了编码风格、编程技巧、自动化、测试等几方面,既包括具体风格和原则的介绍,也包括示例和技巧说明,最后还介绍了如何通过自动化的工具和方法来实现一致的编程风格。 《编写可维护的Ja......一起来看看 《编写可维护的JavaScript》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

SHA 加密
SHA 加密

SHA 加密工具