Qbot银行木马分析

Qbot银行木马在2009年被发现后一直在不断更新。这款信息窃取恶意软件被用来攻击位于全球各地的政府和企业，以窃取用户数据和银行凭证，并使用不断发展的传播兼职、命令行基础设施和反分析技术。

本文介绍JASK Special Operations (SpecOps)团队如何对基于钓鱼攻击活动的Qbot恶意感染活动进行分析。

2019年3月底，研究人员发现一起鱼叉式钓鱼攻击活动导致了Qbot感染的相关事件。在攻击中，攻击者使用本地Windows工具来绕过传播安全技术的检测，以达到安装信息窃取木马的目的。基于对该攻击活动、恶意软件和相关基础设施的分析，研究人员认为攻击与最新的Qbot攻击活动相关，尤其是在传播机制、stage 1下载器和stage 2恶意软件上都有所重叠。Qbot感染的传播机制使用的是鱼叉式钓鱼攻击，目标用户接收了一封含有到在线文档链接的邮件。但该邮件是一封对已有邮件的回复。这种技术在最新的Emotet活动中也有使用。

图1: 传播Qbot恶意软件的到VBS Dropper的OneDrive链接的邮件

该链接会启动Google Chrome连接到Microsoft OneDrive的位置来提取含有Operating Agreement 03192019b02.doc.vbs的zip文件，该文件是stage 1的下载器。

该链接使用Chrome来从位于ssj5mq[.]bn[.]files[.]1drv[.]com（解析IP为13[.]107[.]42[.]12）的远程Microsoft OneDrive位置来提取ZIP文件，其中vbs文件是stage 1的下载器。通过审计Windows event ID 4688，研究人员发现了这一过程。

Payload分析

释放期会执行stage 2下载。Qbot恶意软件是使用内置的Windows BITSAdmin 工具(bitsadmin.exe)来下载的。BITS代表Background Intelligent Transfer Service（后台智能传输服务），是用来管理到web服务器或SMB文件共享的文件传输的。

图2: BITS User-Agent字符串查询结果

图3: BITS User-Agent字符串ASOC信号逻辑

August.png (其实是一个exe文件)是从hxxp://apps[.]theandroidstore[.]tv下载的，也是与Qbot银行木马相关的stage 2的下载。Winevent logs提供了在受害者机器上完整的进程活动，也提供了payload提取的证据。下面可以的进程活动通过Windows事件代码为4688的日志通过命令行活动表示。在该活动中，研究人员可以看到stage 2阶段的恶意软件保存在重命名的新目录中。该活动以在终端上创建新的定时任务来完成驻留为结果。

攻击者基础设施

Qbot攻击活动的Maltego可视化图如下所示：

图4: Qbot基础设施的Maltego可视化图

IOC

ssj5mq[.]bn[.]files[.]1drv[.]com

13[.]107[.]42[.]12

hxxp://apps[.]theandroidstore[.]tv

192[.]185[.]41[.]190

SHA256: 869985182924ca7548289156c*0612a9f171c7e098b04550dbf62ab8f4ebd9 (august.png)

更多参见： https://jask.com/wp-content/uploads/2019/04/Uncovering-Qbot-v6.pdf