什么是 Qakbot?
Qakbot(又名 Qbot 或 Pinkslipbot)是一种具有后门功能的模块化二级恶意软件,最初的目的是窃取凭证,已被 CISA 列为2021 年顶级恶意软件菌株之一。Qakbot 被归类为银行特洛伊木马、蠕虫和远程访问特洛伊木马(RAT),可窃取敏感数据并试图自我传播到网络上的其他系统。Qakbot 还提供远程代码执行 (RCE) 功能,允许攻击者执行手动攻击,以实现扫描被入侵网络或注入勒索软件等次要目标。
Qakbot已被REvil、ProLock和Lockbit等顶级勒索软件团伙用于传播几种大型猎杀勒索软件。Qakbot 的许多模块还允许自动瞄准财务数据、本地存储的电子邮件、系统密码或密码哈希值、网站密码和网络浏览器缓存中的 cookie。它们还能记录键盘输入,窃取任何键入的凭证。
Qakbot 于 2008 年被发现,在其生命周期中不断更新,其使用情况随更新周期而波动。2015 年推出更新版本后,Qakbot 获得了新的发展势头;2020 年,威胁研究人员注意到,新型 Qakbot 菌株的发布导致其在网络攻击中所占份额同比增长了 465%。2021 年,Qakbot 在 JBS 的重大网络入侵事件中发挥了作用,该事件破坏了 JBS 的肉类生产设施,并迫使其支付了 1100 万美元的赎金。
最新 Qakbot 新闻
- 联邦调查局和司法部捣毁恶意软件 "瑞士军刀 "Qakbot 的内幕(BlackBerry Blogs)
- QakBot 威胁行动者仍在行动,在最新攻击中使用赎金骑士和 Remcos RAT(The Hacker News)
- 联邦调查局与合作伙伴在多国网络攻防战中拆除 Qakbot 基础设施(FBI.gov)
- 针对 macOS 和 Windows 的网络攻击(BlackBerry 博客)
Qakbot 如何工作
作为第二阶段漏洞利用工具包,Qakbot 由第一阶段下载恶意软件引入目标系统--要么作为初始漏洞利用的一部分,要么在获得初始访问权限后不久引入。初始访问漏洞可能通过多种技术发生,如带有木马文档的恶意垃圾邮件或电子邮件钓鱼、利用面向公众的漏洞或恶意内部攻击。
一旦在目标系统上运行,Qakbot 就会使用 Microsoft PowerShell 和 Mimikatz 漏洞利用工具包窃取凭证并传播到网络上的其他主机。
Qakbot 使用多种技术窃取受害者的敏感信息,包括
- 监控键盘输入并将日志发送到攻击者控制的系统中
- 枚举系统文件以识别存储的密码哈希值
- 搜索浏览器密码缓存,窃取使用浏览器自动填充功能存储的密码
Qakbot 攻击的迹象
作为二级恶意软件,Qakbot 的部分策略是隐身。为了避免被发现,Qakbot 会对本地系统环境进行评估,不会解密其有效载荷,也不会在某些情况下执行,如检测到虚拟化或存在某些安全产品或 Windows 注册表键时。这使得 Qakbot 能够通过阻止安全研究人员快速获取和分析有效载荷来隐藏其功能。Qakbot 的另一种隐身策略是将自身注入(或捎带)到合法的应用程序进程中。
Windows 注册表中未经授权的运行键是 Qakbot 入侵的一个潜在指标。注册表运行键用于在用户登录时自动执行程序:Qakbot 会创建一个条目来自动启动自己,以便在系统中持续运行。Qakbot 还会根据已发布的安全研究进行显著更新,以掩盖其已知的入侵指标 (IOC)。
如何防止 Qakbot 攻击
防止感染 Qakbot 的最有效方法是阻止攻击者获得初始访问权限,并在 Qakbot 已获得初始访问权限的情况下阻止其通过网络传播。
防止 Qakbot 初始访问的防御策略
- 考虑开展用户意识培训,让员工了解网络钓鱼技术,并制定处理可疑电子邮件和文件的标准操作程序
- 配置电子邮件客户端,在电子邮件来自组织外部时通知用户,并阻止所有受密码保护的.zip文件附件
- 配置 Microsoft Office 应用程序以阻止 VBA 宏的执行
- 制定并维护漏洞管理计划,定期扫描面向公众的服务中的漏洞,并及时补救
- 在操作系统和应用程序更新及安全补丁可用后,尽快安装它们
