Qbot繼續竊取易受攻擊的密碼
每天都會出現數十個惡意軟件系列。他們中的許多人都是由能力較差的黑客編寫而且並不難以防範,這意味著他們通常不會產生任何形式的重要印象,並且會在幾天內消失。其他惡意軟件活動組織得更好,壽命更長,可以運行幾周到幾年。然而,在他們第一次出現之後,很少有家庭能夠堅持十多年。 Quakbot,也稱為Qbot,就是其中之一。
Qbot - 一種具有彈性的企業級惡意軟件
您不太可能在家用電腦上找到Qbot。自從2008年首次亮相以來,它一直瞄準組織和公司。其特別令人討厭的功能之一是它通過共享驅動器和可移動存儲設備在企業網絡中移動的類似蠕蟲的能力。
它可以執行的惡意活動範圍也令人印象深刻。例如,在2017年,當它將不同組織的數百名員工鎖定在其Active Directory帳戶之外時,它成為頭條新聞。專家們還看到Qbot顯示信息竊取和鍵盤記錄功能,但可以公平地說,它的主要功能一直是竊取組織的登錄憑據,目的是耗盡他們的銀行賬戶。根據思科Talos團隊的一份報告 ,在4月初,Qbot的運營商推出了最新的一系列活動,並將其作為展示惡意軟件巧妙新功能的機會。
複雜的感染鏈使Qbot成為更加強大的威脅
當他們看到Qbot的活動有所增加時,思科的研究人員迅速得到了樣本,並發現犯罪分子並沒有真正更新惡意軟件的核心功能。相反,Qbot的運營商改變了銀行木馬侵入組織網絡的方式,並增加了一些檢測規避機制,使其更加危險。
首先,dropper創建一個計劃任務,該任務執行位於ProgramData文件夾中的JavaScript下載程序並偽裝成Windows Media Player播放列表文件。下載程序查詢被劫持的域列表並查找特定的PHP文件,該文件告訴它在哪裡查找有效負載。
此時,下載程序可能只是下載並執行惡意軟件,但這會增加檢測的機會,這就是為什麼,對於此活動,犯罪分子將Qbot木馬分為兩個單獨的文件,擴展名為.zzz,第一個第一個文件中包含1,000個字節,其余文件放在第二個文件中。另一個計劃任務執行批處理文件,該文件重新組裝該木馬並運行它。
將有效負載分成兩個單獨的文件,而不是試圖掩蓋單個二進製文件中的所有惡意代碼,這對黑客來說是一個非常聰明的舉動。思科的專家認為,僅此一項就足以欺騙一些安全產品,並且由於一些額外的混淆技術,檢測的可能性更低。不幸的是,這一切都表明雖然現在已經超過十年了,但Qbot肯定會留下來。