Qbot: новые методы и блоки атак

отредактировано декабря 2021 Раздел: Вирусы & Антивирусы
Qbot.jpg

Новая версия вредоносного ПО Qbot теперь активирует свой механизм сохранения непосредственно перед выключением зараженных устройств Windows и автоматически удаляет все следы при перезагрузке системы или выходе из спящего режима.

Qbot (также известный как Qakbot, Quakbot и Pinkslipbot) - это банковский троян для Windows с функциями червя, активными по крайней мере с 2009 года и используемыми для кражи банковских учетных данных, личной информации и финансовых данных.

Вредоносная программа также использовалась для регистрации нажатий клавиш пользователем, для установки бэкдоров на взломанных компьютерах и для развертывания маяков Cobalt Strike, используемых операторами программ-вымогателей для доставки полезных нагрузок программ-вымогателей ProLock и Egregor.

В недавних кампаниях жертвы Qbot были заражены с помощью фишинговых писем с вложениями документов Excel, выдаваемых за документы DocuSign.

Начиная с 24 ноября, когда исследователь угроз Binary Defense Джеймс Куинн сообщил, что была обнаружена новая версия Qbot, вредоносная программа использует более новый и скрытый механизм сохранения, который использует сообщения о завершении работы системы и возобновлении работы для переключения сохраняемости на зараженных устройствах.

«В то время как в первоначальных отчетах других исследователей говорилось, что в новой версии Qakbot был удален механизм сохранения ключа Run, он вместо этого был добавлен к более скрытому и интересному механизму сохранения, который прослушивает сообщения о завершении работы системы, а также PowerBroadcast Suspend / Resume сообщения ", - объясняет Куинн.

Троян добавит в реестр раздел Run в зараженных системах, который позволяет ему автоматически запускаться при входе в систему, и будет пытаться немедленно удалить его, как только пользователь включит питание или выйдет из спящего режима компьютер, чтобы избежать обнаружения антивирусными решениями или средствами безопасности.

Что делает эту технику незаметной, так это идеальное время, используемое разработчиками Qbot для внедрения ключа в реестр Windows.

Вредоносная программа только добавит ключ запуска перед тем, как система перейдет в спящий режим или выключится, но сделает это настолько близко к тому, что «продукты безопасности не смогут обнаружить новый ключ запуска и сообщить о нем».

Затем Qbot попытается удалить ключ сохранения несколько раз после того, как он снова запустится при пробуждении системы или входе в систему.

Хотя этот метод обеспечения устойчивости является новым для Qbot, другие вредоносные программы использовали аналогичные методы для уклонения от обнаружения в прошлом, в том числе банковские трояны Gozi и Dridex.

"Похоже, что два семейства вредоносных программ имеют схожий механизм в том смысле, что оба они прослушивают сообщения WM_QUERYENDSESSION и WM_ENDSESSION, чтобы определить, когда пользователь выходит из системы, но новая версия Qakbot идет дальше, также ища события питания, такие как WM_POWERBROADCAST и PBT_APMSUSPEND для установки своих перехватчиков, когда система также приостановлена »

Изменения в установке и конфигурации

Методика установки Qbot также была обновлена ​​в этой новой версии, поскольку она использует новую архитектуру DLL, которая объединяет загрузчик вредоносных программ и бота в одной DLL.

Ранее загрузчик избегал обнаружения автоматизированными системами «песочницы» вредоносных программ, сохраняя весь вредоносный код в отдельном компоненте DllRegisterServer и вызывая его только через regsvr32.exe или rundll32.exe при использовании определенных аргументов командной строки.

Новая версия упрощает эту технику, удаляя аргументы командной строки из процесса и переключая внедрение кода бота во вновь созданные процессы.

«Удаление переключателей командной строки и проверок анализа посредством создания нового процесса (при сохранении многих проверок антианализа и песочницы), механизм установки нового загрузчика происходит только после того, как бот был внедрен в explorer.exe»

https://www.bleepingcomputer.com/news/security/qbot-malware-switched-to-stealthy-new-windows-autostart-method/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.

Комментарии

  • отредактировано декабря 2021 PM
    Строительные блоки атак вредоносного ПО QBot

    По мере увеличения размера и частоты кампаний QBot исследователи ищут способы разорвать цепочку распространения трояна и устранить угрозу.

    За последние несколько лет Qbot (Qakbot или QuakBot) превратился в широко распространенное вредоносное ПО для Windows, которое позволяет злоумышленникам красть банковские учетные данные и учетные данные домена Windows, распространяться на другие компьютеры и предоставлять удаленный доступ кибергруппам вымогателей.

    Жертвы обычно заражаются Qbot через другое вредоносное ПО или через фишинговые кампании с использованием различных приманок, включая поддельные счета, платежную и банковскую информацию, отсканированные документы или счета.

    Кибергруппы программ-вымогателей, которые, как известно, использовали Qbot для взлома корпоративных сетей, включают штаммы REvil, Egregor, ProLock, PwndLocker и MegaCortex.

    В связи с этим понимание того, как злоумышленники проникают и перемещаются в скомпрометированной среде Qbot, имеет решающее значение для помощи защитникам в остановке злоумышленников до того, как они смогут начать разрушительные атаки.

    Строительные блоки

    В новом отчете Microsoft разбивает цепочку атак QBot на отдельные «строительные блоки», которые могут различаться в зависимости от оператора, использующего вредоносное ПО, и типа атаки, которую он проводит.

    Чтобы проиллюстрировать цепочку атак, Microsoft использовала детали Lego разного цвета, каждая из которых представляет собой этап атаки.

    «Однако, основываясь на нашем анализе, можно разбить инцидент, связанный с Qakbot, на набор отдельных« строительных блоков », которые могут помочь аналитикам безопасности выявлять кампании Qakbot и реагировать на них», - объясняет исследование Microsoft.

    «На рисунке 1 ниже представлены эти строительные блоки. По нашим наблюдениям, каждая цепочка атак Qakbot может иметь только один блок каждого цвета. Первая строка и макроблок представляют механизм электронной почты, используемый для доставки Qakbot».

    building_blocks.jpg

    Эти различные цепочки атак являются либо результатом целенаправленного подхода, либо попыткой добиться успеха в одной точке проникновения путем одновременного тестирования нескольких каналов атаки.

    Даже если посмотреть на три устройства, нацеленных на одну и ту же кампанию, злоумышленники могут использовать три разные цепочки атак.

    Например, устройство A в конечном итоге подвергается атаке программы-вымогателя, в то время как устройство B используется для бокового перемещения, а устройство C используется для кражи учетных данных.

    Использование разных цепочек присоединения в одной атаке подчеркивает важность анализа всех доказательств в расследованиях после атаки, поскольку невозможно сделать безопасных выводов, просматривая образцы журналов или то, что произошло на одном устройстве.

    Атаки Qbot начинаются с электронного письма

    Что бы ни случилось на более поздних этапах, важно подчеркнуть, что угроза QBot начинается с прибытия электронного письма, содержащего вредоносные ссылки, вложения или встроенные изображения.

    Сообщения обычно короткие, содержащие призыв к действию, которые игнорируются решениями по обеспечению безопасности электронной почты.

    Использование встроенных ссылок - самый слабый подход, поскольку во многих URL-адресах отсутствует протокол HTTP или HTTPS, что делает их недоступными для большинства почтовых клиентов. Кроме того, использование неактивных URL-адресов может обойти решения для защиты электронной почты, поскольку они не являются HTML-ссылкой.

    Однако получатели вряд ли скопируют и вставят эти URL-адреса на новую вкладку, поэтому вероятность успеха снизится.

    Однако их шансы значительно возрастают, когда актеры перехватывают цепочки писем, чтобы создать поддельный ответ.

    Недавно мы видели, как этот тип внутренней атаки по цепочке ответов успешно работает против IKEA, и решениям по обеспечению безопасности особенно сложно отследить и остановить ее.

    В случае вредоносных вложений атаки снова оказываются слабыми, поскольку большинство продуктов безопасности помечают вложения ZIP как потенциально вредоносные.

    Последнее дополнение в репертуаре доставки QBot - это встроенные изображения в тело письма, которые содержат вредоносные URL-адреса.

    Опять же, это еще один способ избежать обнаружения средствами защиты контента, поскольку изображение представляет собой снимок экрана с текстом, побуждающим получателя ввести ссылку самостоятельно.

    Это приводит к загрузке файла Excel, который содержит вредоносные макросы, которые в конечном итоге загружают QBot на машину.

    Более поздние строительные блоки

    После доставки электронного письма цепочки атак Qbot используют следующие строительные блоки:

    Включение макросов - каждая кампания Qbot, отправляемая по электронной почте, использует вредоносные макросы для доставки полезной нагрузки Qbot.

    Доставка Qakbot - Qbot обычно загружается как исполняемый файл с расширением htm или .dat, а затем переименовывается в несуществующие расширения файлов, такие как .waGic или .wac.

    Внедрение процесса для открытия - полезные данные Qbot затем внедряются в виде DLL в другие процессы, чаще всего в MSRA.exe и Mobsync.exe.

    Запланированные задачи - Создает запланированную задачу, чтобы Qbot запускался каждый раз при перезапуске Windows и входе пользователя в устройство.

    Кража учетных данных и данных браузера - украсть учетные данные из диспетчера учетных данных Windows и историю браузера, пароли и файлы cookie из установленных веб-браузеров.

    Кража электронной почты - украсть электронную почту с зараженных устройств, которую злоумышленники используют в других фишинговых атаках с цепочкой ответов на сотрудников и деловых партнеров.

    Дополнительные полезные нагрузки, боковое перемещение и программы-вымогатели - этот блок в цепочке атак предназначен для различных вредоносных действий и полезных нагрузок, включая развертывание маяков Cobalt Strike, распространение в сети и развертывание программ-вымогателей.

    Распространение QBot снова начало расти в ноябре 2021 года, и этому способствовало появление атак Squirrelwaffle.

    Поскольку заражение QBot может привести к различным опасным и разрушительным атакам, все администраторы должны быть хорошо знакомы с вредоносным ПО и с тактиками, которые оно использует для распространения по сети.

    Поскольку все заражения начинаются с электронной почты, крайне важно сосредоточить на нем свою бдительность, избегать нажатия на неизвестные URL-адреса или включения макросов, а также обучить сотрудников навыкам фишинга.

    https://www.bleepingcomputer.com/news/security/microsoft-these-are-the-building-blocks-of-qbot-malware-attacks/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.