QBot kampanyalarının boyutu ve sıklığı arttıkça, araştırmacılar truva atlarının dağıtım zincirini kırmanın ve tehditle mücadele etmenin yollarını araştırıyorlar.
Son birkaç yılda, Qbot (Qakbot veya QuakBot), tehdit aktörlerinin banka kimlik bilgilerini ve Windows etki alanı kimlik bilgilerini çalmasına, diğer bilgisayarlara yayılmasına ve fidye yazılımı çetelerine uzaktan erişim sağlamasına izin veren yaygın olarak yayılan Windows kötü amaçlı yazılımı haline geldi.
Kurbanlar genellikle başka bir kötü amaçlı yazılım enfeksiyonu veya sahte faturalar, ödeme ve bankacılık bilgileri, taranan belgeler veya faturalar da dahil olmak üzere çeşitli yemler kullanarak kimlik avı kampanyaları yoluyla Qbot ile enfekte olur.
Şirket ağlarını ihlal etmek için Qbot’ı kullandığı bilinen fidye yazılımı çeteleri arasında REvil, Egregor, ProLock, PwndLocker ve MegaCortex suşları bulunur.
Bu nedenle, tehdit aktörlerinin Qbot’un güvenliği ihlal edilmiş bir ortama nasıl sızdığını ve hareket ettiğini anlamak, savunucuların yıkıcı saldırıları serbest bırakmadan önce davetsiz misafirleri durdurmalarına yardımcı olmak için kritik öneme sahiptir.
Yapı taşları
Yeni bir raporda Microsoft, QBot saldırı zincirini kötü amaçlı yazılımı kullanan operatöre ve gerçekleştirdikleri saldırı türüne bağlı olarak farklı olabilecek farklı “yapı taşları” olarak parçalar.
Bir saldırı zincirini göstermek için Microsoft, her biri bir saldırıda bir adımı temsil eden farklı renklerdeki Lego parçalarını kullandı.
“Ancak, analizimize dayanarak, Qakbot ile ilgili bir olayı, güvenlik analistlerinin Qakbot kampanyalarını tanımlamasına ve yanıt vermesine yardımcı olabilecek bir dizi farklı “yapı taşı” haline getirebiliriz,” diye açıklıyor. araştırma Microsoft tarafından.
“Aşağıdaki Şekil 1 bu yapı taşlarını temsil ediyor. Gözlemlerimize göre, her Qakbot saldırı zincirinin her renkten sadece bir bloğu olabilir. İlk satır ve makro bloğu Qakbot’u teslim etmek için kullanılan e-posta mekanizmasını temsil eder.”
Bu farklı saldırı zincirleri, ya yüksek hedefli bir yaklaşımın ya da aynı anda birden fazla saldırı kanalını deneyerek tek bir sızma noktasında başarılı olma girişiminin sonucudur.
Aynı kampanyada hedeflenen üç cihaza bakıldığında bile saldırganlar üç farklı saldırı zinciri kullanabilir.
Örneğin, Cihaz A sonuçta bir fidye yazılımı saldırısına uğrarken, B Cihazı yanal hareket için kullanılır ve Cihaz C kimlik bilgilerini çalmak için kullanılır.
Aynı saldırıda farklı takma zincirlerinin kullanılması, saldırı sonrası soruşturmalarda tüm kanıtların analiz edilmesinin öneminin altını çizer, çünkü örnek günlüklere veya bir cihazda ne olduğuna bakılarak güvenli sonuçlar çıkaramaz.
Qbot saldırıları bir e-posta ile başlar
Daha sonraki aşamalarda ne olursa olsun, QBot tehdidinin kötü amaçlı bağlantılar, ekler veya gömülü görüntüler taşıyan bir e-postanın gelmesiyle başladığının altını çizmek önemlidir.
İletiler genellikle kısadır ve e-posta güvenlik çözümlerinin yoksaydığı bir eylem çağrısı içerir.
Katıştırılmış bağlantıları kullanmak en zayıf yaklaşımdır, çünkü çoğu URL’de HTTP veya HTTPS protokolü eksiktir, bu da çoğu e-posta istemcisinde tıklatılamaz hale getirir. Ayrıca, tıklanamaz URL’lerin kullanımı, HTML bağlantısı olmayarak e-posta güvenlik çözümlerini atlayabilir.
Ancak, alıcıların bu URL’leri kopyalayıp yeni bir sekmeye yapıştırması olası değildir, bu nedenle başarı oranları düşer.
Ancak, aktörler sahte bir cevap oluşturmak için e-posta konularını ele geçirince şansları çok daha iyi olur.
Bu tür dahili yanıt zinciri saldırılarının başarıyla çalıştığını gördük IKEA’ya karşı ve güvenlik çözümlerini izlemek ve durdurmak özellikle zor.
Kötü amaçlı ekler olmasında, çoğu güvenlik ürünü ZIP eklerini kötü amaçlı olabilecek olarak işaretlediğinden saldırılar yine zayıftır.
QBot’un teslimat repertuarındaki en son ekleme, kötü amaçlı URL’leri içeren e-posta gövdesine gömülü görüntülerdir.
Yine, bu, içerik güvenlik aracı algılamadan kaçınmanın başka bir yoludur, çünkü görüntü, alıcıyı bağlantıyı kendileri yazmaya çağıran bir metin ekran görüntüsüdür.
Bunu yapmak, sonunda QBot’ı makineye yükleyen kötü amaçlı makroları taşıyan bağlı bir Excel dosyasının indirilmesiyle sonuçlanır.
Daha sonraki yapı taşları
E-postanın teslimi sonrasında Qbot saldırı zincirleri aşağıdaki yapı taşlarını kullanır:
- Makro etkinleştirme – E-posta yoluyla sunulan her Qbot kampanyası, Qbot yükünü teslim etmek için kötü amaçlı makrolar kullanır.
- Qakbot teslimatı – Qbot genellikle bir yürütülebilir olarak indirilir htm veya .dat gibi varolmayan dosya uzantılarına yeniden adlandırıldı.waGic veya .wac. Microsoft, çoğu durumda Qbot teslimatının bir C:Datop klasör olarak bu makalede açıklanmıştır.
- Keşif için işlem enjeksiyonu – Qbot yükleri daha sonra diğer işlemlere DLL olarak enjekte edilir, en yaygın olarak MSRA.exe ve Mobsync.exe.
- Zamanlanmış görevler – Windows her yeniden başlatıldığı ve bir kullanıcının cihazda oturum açtığında Qbot’un başlatılması için zamanlanmış bir görev oluşturur.
- Kimlik bilgisi ve tarayıcı veri hırsızlığı – Yüklü web tarayıcılarından Windows Kimlik Bilgileri Yöneticisi’nden ve tarayıcı geçmişinden, parolalardan ve çerezlerden kimlik bilgilerini çalın.
- E-posta sızdırma – Saldırganların kullandığı virüslü cihazlardan e-posta çalmak diğer yanıt zinciri kimlik avı saldırıları çalışanlara ve iş ortaklarına karşı.
- Ek yükler, yanal hareket ve fidye yazılımı – Saldırı zincirindeki bu blok, Kobalt Strike işaretçilerini dağıtmak, ağ üzerinden yanal olarak yayılmak ve fidye yazılımı dağıtmak da dahil olmak üzere çeşitli kötü amaçlı etkinlikler ve yükler içindir.
QBot dağıtımı Kasım 2021’de tekrar yükselmeye başladı ve daha fazla yardımcı oldu ‘Squirrelwaffle’ saldırılarının ortaya çıkmasıyla.
QBot enfeksiyonları çeşitli tehlikeli ve yıkıcı saldırılara yol açabileceğinden, tüm yöneticilerin kötü amaçlı yazılımlara ve bir ağa yayılmak için kullandığı taktiklere yakından aşina olmaları gerekir.
Tüm enfeksiyonlar bir e-posta ile başladığından, uyanıklığınızı oraya odaklamak, bilinmeyen URL’lere tıklamaktan veya makroları etkinleştirmekten kaçınmak ve çalışanlara kimlik avı farkındalık eğitimi sağlamak çok önemlidir.
QBot’ı avlamak isteyenler için Microsoft bunu yeniler GitHub deposu sık sık güncel sorgularla.