Qbot继续窃取易受攻击的密码
每天都会出现数十个恶意软件系列。他们中的许多人都是由能力较差的黑客编写而且并不难以防范,这意味着他们通常不会产生任何形式的重要印象,并且会在几天内消失。其他恶意软件活动组织得更好,寿命更长,可以运行几周到几年。然而,在他们第一次出现之后,很少有家庭能够坚持十多年。 Quakbot,也称为Qbot,就是其中之一。
Qbot - 一种具有弹性的企业级恶意软件
您不太可能在家用电脑上找到Qbot。自从2008年首次亮相以来,它一直瞄准组织和公司。其特别令人讨厌的功能之一是它通过共享驱动器和可移动存储设备在企业网络中移动的类似蠕虫的能力。
它可以执行的恶意活动范围也令人印象深刻。例如,在2017年,当它将不同组织的数百名员工锁定在其Active Directory帐户之外时,它成为头条新闻。专家们还看到Qbot显示信息窃取和键盘记录功能,但可以公平地说,它的主要功能一直是窃取组织的登录凭据,目的是耗尽他们的银行账户。根据思科Talos团队的一份报告 ,在4月初,Qbot的运营商推出了最新的一系列活动,并将其作为展示恶意软件巧妙新功能的机会。
复杂的感染链使Qbot成为更加强大的威胁
当他们看到Qbot的活动有所增加时,思科的研究人员迅速得到了样本,并发现犯罪分子并没有真正更新恶意软件的核心功能。相反,Qbot的运营商改变了银行木马侵入组织网络的方式,并增加了一些检测规避机制,使其更加危险。
首先,dropper创建一个计划任务,该任务执行位于ProgramData文件夹中的JavaScript下载程序并伪装成Windows Media Player播放列表文件。下载程序查询被劫持的域列表并查找特定的PHP文件,该文件告诉它在哪里查找有效负载。
此时,下载程序可能只是下载并执行恶意软件,但这会增加检测的机会,这就是为什么,对于此活动,犯罪分子将Qbot木马分为两个单独的文件,扩展名为.zzz,第一个第一个文件中包含1,000个字节,其余文件放在第二个文件中。另一个计划任务执行批处理文件,该文件重新组装该木马并运行它。
将有效负载分成两个单独的文件,而不是试图掩盖单个二进制文件中的所有恶意代码,这对黑客来说是一个非常聪明的举动。思科的专家认为,仅此一项就足以欺骗一些安全产品,并且由于一些额外的混淆技术,检测的可能性更低。不幸的是,这一切都表明虽然现在已经超过十年了,但Qbot肯定会留下来。