内容简介:Qbot银行木马在2009年被发现后一直在不断更新。这款信息窃取恶意软件被用来攻击位于全球各地的政府和企业,以窃取用户数据和银行凭证,并使用不断发展的传播兼职、命令行基础设施和反分析技术。本文介绍JASK Special Operations (SpecOps)团队如何对基于钓鱼攻击活动的Qbot恶意感染活动进行分析。2019年3月底,研究人员发现一起鱼叉式钓鱼攻击活动导致了Qbot感染的相关事件。在攻击中,攻击者使用本地Windows工具来绕过传播安全技术的检测,以达到安装信息窃取木马的目的。基于对该攻击
Qbot银行木马在2009年被发现后一直在不断更新。这款信息窃取恶意软件被用来攻击位于全球各地的政府和企业,以窃取用户数据和银行凭证,并使用不断发展的传播兼职、命令行基础设施和反分析技术。
本文介绍JASK Special Operations (SpecOps)团队如何对基于钓鱼攻击活动的Qbot恶意感染活动进行分析。
2019年3月底,研究人员发现一起鱼叉式钓鱼攻击活动导致了Qbot感染的相关事件。在攻击中,攻击者使用本地Windows工具来绕过传播安全技术的检测,以达到安装信息窃取木马的目的。基于对该攻击活动、恶意软件和相关基础设施的分析,研究人员认为攻击与最新的Qbot攻击活动相关,尤其是在传播机制、stage 1下载器和stage 2恶意软件上都有所重叠。Qbot感染的传播机制使用的是鱼叉式钓鱼攻击,目标用户接收了一封含有到在线文档链接的邮件。但该邮件是一封对已有邮件的回复。这种技术在最新的Emotet活动中也有使用。
图1: 传播Qbot恶意软件的到VBS Dropper的OneDrive链接的邮件
该链接会启动Google Chrome连接到Microsoft OneDrive的位置来提取含有Operating Agreement 03192019b02.doc.vbs的zip文件,该文件是stage 1的下载器。
该链接使用Chrome来从位于ssj5mq[.]bn[.]files[.]1drv[.]com(解析IP为13[.]107[.]42[.]12)的远程Microsoft OneDrive位置来提取ZIP文件,其中vbs文件是stage 1的下载器。通过审计Windows event ID 4688,研究人员发现了这一过程。
Payload分析
释放期会执行stage 2下载。Qbot恶意软件是使用内置的Windows BITSAdmin 工具(bitsadmin.exe)来下载的。BITS代表Background Intelligent Transfer Service(后台智能传输服务),是用来管理到web服务器或SMB文件共享的文件传输的。
图2: BITS User-Agent字符串查询结果
图3: BITS User-Agent字符串ASOC信号逻辑
August.png (其实是一个exe文件)是从hxxp://apps[.]theandroidstore[.]tv下载的,也是与Qbot银行木马相关的stage 2的下载。Winevent logs提供了在受害者机器上完整的进程活动,也提供了payload提取的证据。下面可以的进程活动通过Windows事件代码为4688的日志通过命令行活动表示。在该活动中,研究人员可以看到stage 2阶段的恶意软件保存在重命名的新目录中。该活动以在终端上创建新的定时任务来完成驻留为结果。
攻击者基础设施
Qbot攻击活动的Maltego可视化图如下所示:
图4: Qbot基础设施的Maltego可视化图
IOC
ssj5mq[.]bn[.]files[.]1drv[.]com
13[.]107[.]42[.]12
hxxp://apps[.]theandroidstore[.]tv
192[.]185[.]41[.]190
SHA256: 869985182924ca7548289156c*0612a9f171c7e098b04550dbf62ab8f4ebd9 (august.png)
更多参见: https://jask.com/wp-content/uploads/2019/04/Uncovering-Qbot-v6.pdf
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 木马分析:分析针对意大利的Ursnif银行木马
- BackSwap银行木马进化分析
- TrickBot银行木马最新版本分析报告
- Google Play上发现的银行木马可窃取受害者的银行账户
- 银行木马Trickbot新模块:密码抓取器分析
- 针对银行木马BokBot核心模块的深入分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
编写可维护的JavaScript
扎卡斯 / 李晶、郭凯、张散集 / 人民邮电出版社 / 2013-4 / 55.00元
《编写可维护的JavaScript》向开发人员阐述了如何在团队开发中编写具备高可维护性的JavaScript代码,书中详细说明了作为团队一分子,应该怎么写JavaScript。《编写可维护的JavaScript》内容涵盖了编码风格、编程技巧、自动化、测试等几方面,既包括具体风格和原则的介绍,也包括示例和技巧说明,最后还介绍了如何通过自动化的工具和方法来实现一致的编程风格。 《编写可维护的Ja......一起来看看 《编写可维护的JavaScript》 这本书的介绍吧!