QakBot 恶意文档活动引入两项新技术
译者:知道创宇404实验室翻译组
原文链接:https://blog.morphisec.com/qakbot-qbot-maldoc-two-new-techniques
前言
从本月初开始,Morphisec实验室跟踪了一个大规模的恶意软件活动,该活动提供QakBot / QBot银行木马。Qakbot利用先进的技术来逃避检测并阻止对威胁的人工分析。在这篇文章中,我们将提到其中两种有趣的技术——通过压缩Word文档绕过内容撤防和重建(CDR)技术、绕过子模式检测模式。
技术分析
攻击链中的第一步是发送带有ZIP文件的钓鱼电子邮件。与传统的网络钓鱼攻击一样,该电子邮件旨在鼓励目标用户单击文件并下载。为什么攻击者会通过zip而不是直接发送文档?这是因为许多内容撤防和重建(CDR)系统都会从所有恶意工件中剥离作为附件提供的文档。就像攻击者在这里所做的那样,在ZIP文件中发送Word文档是绕过CDR系统的一种完美方法。
图1:目标接收的网络钓鱼电子邮件示例
ZIP文件包含一个microsoftword文档。攻击者使用一种常见的策略诱使受害者启用宏:当目标下载文件时,它要求目标启用编辑功能,然后启用内容以查看文档。
图2:恶意文件要求目标启用编辑和启用内容
当查看宏时,我们注意到两个自动触发的函数:AutoOpen和AutoClose。这两个功能在打开文档和关闭文档时都会被激活。
图3:AutoOpen和AutoClose触发函数
AutoOpen函数会在ProgramData目录中创建一个充满一些空格的诱饵VBS文件,然后通过执行命令Application.Quit触发AutoClose函数。
触发后,自动关闭功能将所有窗体标题转储到ProgramData中的另一个VBS文件中,然后使用WScript.Shell Exec方法以及存储在DefaultTargetFrame属性中的命令“ explorer.exe C:\ ProgramData \ Portes.vbs”来执行该文件。通过explorer.exe执行很简单,但非常独特,并且会破坏不同EDR产品的许多现有模式识别功能。这可能会降低攻击分数,使其不被发现。
图4:WScript.Shell
执行脚本后,它将几个命令转储到单独的批处理脚本中并执行。批处理脚本将杀死WINWORD.exe进程,然后运行遍历多个URL的PowerShell命令。如果处于活动状态,它将下载并执行有效负载QakBot(QBot)。最后,批处理脚本从受感染的计算机中删除所有工件。
结论
Morphisec发现在最近几个月中QBot交付量有所增加。EDR / AV很难检测到分布式行为,在分布式行为中,不是单个进程执行恶意操作,而是所有组合进程都以恶意方式组合起作用。我们在其他恶意软件(如Emotet,Tesla等)的交付中发现了类似的执行方式。
积极主动,预防为主的网络安全方法是保护您的企业免受这些逃避威胁的关键。这种方法包括加强环境或在企业中部署高级预防技术。支撑Morphisec Shield和Morphisec Guard的移动目标防御技术可为您的企业免疫,并保护您免受QakBot等高级回避威胁的侵害。
IOCs(SHA-1):
Docs:
8253ed3b08ab8996d471af5d25a7223d8c259f45
be852364d22d508f8ef601bb3bc9eac6bd98713b
d772f78169d9ba175d22c8ecf1a0c3f0328ff6eb
2bd118bb81b709b1013d7ffd8789f05d4e1f734f
78f498003afb55d18207ab7bb22170c6c8c7ef98
39d29aa254c55a5222ea0ec63dc22da67e3b483d
295e604af22f8ced8fe5349765d345507fd3c079
Qakbot(QBot):
791179b20d936cf76d885d1949d4a50a295b4918
e36af99c29a474f82cd57f2736b9d1b5ecadfdfd
b841a34ec95bd1c3d1afe6d578aadef9439f3c38
e7480e6adb6af1c992bc91605e4bba682d76c43d
952917654b5c0328a31c3bbd8c7bf7a70a4a82e7
58b023e339a9557adbdbf0de63c0584500438b9b
147101a88cc1fe91bac9161425986a1c1e15bc16
URLs:
hxxp://akindustrieschair.com/smuvtnrgvmd/55555.png
hxxp://nashsbornik.com/rqzvoxtjyhw/555555.png
hxxp://maplewoodstore.com/rmwclxnbeput/555555.png
hxxp://akersblog.top/kipql/555555.png
hxxp://all-instal.eu/mgpui/555555.png
hxxp://ankaramekanlari.net/vmnzwr/555555.png
hxxp://optovik.store/bkatah/555555.png
hxxp://store.anniebags.com/qyvbyjaiu/555555.png
hxxp://atsepetine.com/evuyrurweyib/555555.png
hxxp://duvarsaatcisi.com/gbmac/555555.png
hxxp://rijschoolfastandserious.nl/rprmloaw/111111.png
hxxp://nanfeiqiaowang.com/tsxwe/111111.png
hxxp://forum.insteon.com/suowb/111111.png
hxxp://webtest.pp.ua/yksrpucvx/111111.png
hxxp://quoraforum.com/btmlxjxmyxb/111111.png
hxxp://quickinsolutions.com/wfqggeott/111111.png
hxxp://bronco.is/pdniovzkgwwt/111111.png
hxxp://studiomascellaro.it/wnzzsbzbd/111111.png
hxxp://craniotylla.ch/vzufnt/111111.png
hxxp://marineworks.eu/dwaunrsamlbq/111111.png
以上是 QakBot 恶意文档活动引入两项新技术 的全部内容, 来源链接: utcz.com/p/199693.html