По мере увеличения размера и частоты кампаний QBot исследователи ищут способы разорвать цепочку распространения трояна и устранить угрозу.
За последние несколько лет Qbot (Qakbot или QuakBot) превратился в широко распространенное вредоносное ПО для Windows, которое позволяет злоумышленникам красть банковские учетные данные и учетные данные домена Windows, распространяться на другие компьютеры и предоставлять удаленный доступ бандам вымогателей.
Жертвы обычно заражаются Qbot через другое вредоносное ПО или через фишинговые кампании с использованием различных приманок, включая поддельные счета, платежную и банковскую информацию, отсканированные документы или счета.
Банды программ-вымогателей, которые, как известно, использовали Qbot для взлома корпоративных сетей, включают штаммы REvil, Egregor, ProLock, PwndLocker и MegaCortex.
В связи с этим понимание того, как злоумышленники проникают и перемещаются в скомпрометированной среде Qbot, имеет решающее значение для помощи защитникам в остановке злоумышленников до того, как они смогут начать разрушительные атаки.
Строительные блоки
В новом отчете Microsoft разбивает цепочку атак QBot на отдельные «строительные блоки», которые могут различаться в зависимости от оператора, использующего вредоносное ПО, и типа атаки, которую он проводит.Чтобы проиллюстрировать цепочку атак, Microsoft использовала детали Lego разного цвета, каждая из которых представляет собой этап атаки.
«Однако, основываясь на нашем анализе, можно разбить инцидент, связанный с Qakbot, на набор отдельных« строительных блоков », которые могут помочь аналитикам безопасности выявлять кампании Qakbot и реагировать на них», - объясняет исследование Microsoft.
«На рисунке 1 ниже представлены эти строительные блоки. По нашим наблюдениям, каждая цепочка атак Qakbot может иметь только один блок каждого цвета. Первая строка и макроблок представляют механизм электронной почты, используемый для доставки Qakbot».
Строительные блоки атак QBot
Источник: Microsoft
Эти различные цепочки атак являются либо результатом целенаправленного подхода, либо попыткой добиться успеха в одной точке проникновения путем одновременного тестирования нескольких каналов атаки.
Даже если посмотреть на три устройства, нацеленных на одну и ту же кампанию, злоумышленники могут использовать три разные цепочки атак.
Например, устройство A в конечном итоге подвергается атаке программы-вымогателя, в то время как устройство B используется для бокового перемещения, а устройство C используется для кражи учетных данных.
Различия между машинами, скомпрометированными одной атакой QBot
Источник: Microsoft
Использование разных цепочек присоединения в одной атаке подчеркивает важность анализа всех доказательств в расследованиях после атаки, поскольку невозможно сделать безопасных выводов, просматривая образцы журналов или то, что произошло на одном устройстве.
Атаки Qbot начинаются с электронного письма
Что бы ни случилось на более поздних этапах, важно подчеркнуть, что угроза QBot начинается с прибытия электронного письма, содержащего вредоносные ссылки, вложения или встроенные изображения.Сообщения обычно короткие, содержащие призыв к действию, которые игнорируются решениями по обеспечению безопасности электронной почты.
Использование встроенных ссылок - самый слабый подход, поскольку во многих URL-адресах отсутствует протокол HTTP или HTTPS, что делает их недоступными для большинства почтовых клиентов. Кроме того, использование неактивных URL-адресов может обойти решения для защиты электронной почты, поскольку они не являются HTML-ссылкой.
Однако получатели вряд ли скопируют и вставят эти URL-адреса на новую вкладку, поэтому вероятность успеха снизится.
Однако их шансы значительно возрастают, когда актеры перехватывают цепочки писем, чтобы создать поддельный ответ.
Недавно мы видели, как этот тип внутренней атаки по цепочке ответов успешно работает против IKEA , и решениям безопасности особенно сложно отследить и остановить ее.
В случае вредоносных вложений атаки снова оказываются слабыми, поскольку большинство продуктов безопасности помечают вложения ZIP как потенциально вредоносные.
Последнее добавление в репертуар доставки QBot - это встроенные изображения в тело письма, которые содержат вредоносные URL-адреса.
Электронная почта QBot, содержащая встроенное изображение.
Источник: Microsoft
Опять же, это еще один способ избежать обнаружения средствами защиты контента, поскольку изображение представляет собой снимок экрана с текстом, побуждающим получателя ввести ссылку самостоятельно.
Это приводит к загрузке файла Excel со шнуровкой, который содержит вредоносные макросы, которые в конечном итоге загружают QBot на машину.
Более поздние строительные блоки
После доставки электронного письма цепочки атак Qbot используют следующие строительные блоки:- Включение макросов - каждая кампания Qbot, отправляемая по электронной почте, использует вредоносные макросы для доставки полезной нагрузки Qbot.
- Доставка Qakbot - Qbot обычно загружается как исполняемый файл с расширением htm или .dat , а затем переименовывается в файлы с несуществующими расширениями, например. waGic или .wac . Microsoft отмечает, что во многих случаях доставка Qbot включает создание папки C: \ Datop, как описано в этой статье .
- Внедрение процесса для обнаружения - полезные данные Qbot затем внедряются в виде DLL в другие процессы, чаще всего в MSRA.exe и Mobsync.exe.
- Запланированные задачи - создает запланированную задачу, чтобы Qbot запускался каждый раз при перезапуске Windows и входе пользователя в устройство.
- Кража учетных данных и данных браузера - украсть учетные данные из диспетчера учетных данных Windows и историю браузера, пароли и файлы cookie из установленных веб-браузеров.
- Email эксфильтрация - Украсть электронную почту от зараженных устройств , которые злоумышленники используют в другом ответ цепи фишинговых атак против сотрудников и деловых партнеров.
- Дополнительные полезные нагрузки, боковое перемещение и программы-вымогатели - этот блок в цепочке атак предназначен для различных вредоносных действий и полезных нагрузок, включая развертывание маяков Cobalt Strike, распространение в сети и развертывание программ-вымогателей.
Поскольку заражение QBot может привести к различным опасным и разрушительным атакам, все администраторы должны быть хорошо знакомы с вредоносным ПО и с тактиками, которые оно использует для распространения по сети.
Поскольку все заражения начинаются с электронной почты, крайне важно сосредоточить на нем свою бдительность, избегать нажатия на неизвестные URL-адреса или включения макросов, а также обучить сотрудников навыкам фишинга.
Для тех, кто интересуется охотой на QBot, Microsoft часто обновляет этот репозиторий GitHub с помощью актуальных запросов.
Перевод - Google
Bleeping Computer
