QBot-Malware-Erkennung: Alter Hund, neue Tricks
Inhaltsverzeichnis:
Man kann einem alten Hund keine neuen Tricks beibringen. Doch Cyberkriminelle ignorieren gängige Stereotypen und aktualisieren QBot mit neuen heimtückischen Tricks, um Opfer weltweit anzugreifen. Dieser Malware-„Veteran“ tauchte bereits 2007 auf, und dennoch beobachten Sicherheitsexperten, dass QBot ständig aktualisiert wird, um im Trend der bösartigen Entwicklungen zu bleiben.
Zum Beispiel beobachten Sicherheitsexperten zunehmend, dass QBot-Wartungsmitarbeiter die LOLBin (Living Off the Land Binaries) missbrauchen. Besonders bekannt ist ein häufig eingesetztes LOLBin namens Regsvr32.exe: Bedrohungsakteure nutzen dieses Befehlszeilen-Dienstprogramm, um trojanische Programme wie Lokibot und QBot in einem System des Opfers zu installieren. Dieser Ansatz schafft eine lukrative Umgebung für den Erfolg der Operation, da Regsvr32.exe ein Werkzeug ist, das in mehreren Routineprozessen verwendet wird.
QBot-Angriffe
QBot (QakBot, QuakBot, auch Pinkslipbot) tauchte erstmals Ende der 2000er Jahre auf. Seit etwa 15 Jahren verursacht der Trojaner Kopfschmerzen, wobei die dahinterstehenden Cyberkriminellen kontinuierlich neue Wege finden, ihre bösartige Aktivität auszuführen.
In den letzten Jahren hat sich die QBot-Malware zu einer weitreichenden Windows-Malware-Familie entwickelt, die hauptsächlich in Phishing-Kampagnen eingesetzt wird. Sie ermöglicht Hackern, Bank- und Windows-Domain-Anmeldedaten zu stehlen, andere Rechner zu infizieren und Ransomware-Gruppen mit Fernzugriff zu versorgen. Laut aktuellen Daten wurde QBot als Lieferagent für Ransomware eingesetzt, um ersten Zugang zu Unternehmensnetzwerken durch berüchtigte Banden wie REvil, PwndLocker, Egregor, ProLock und MegaCortex zu verschaffen.
QBot-Infektionskette
Typischerweise entstehen QBot-Infektionen aus einer anderen Malware-Infektion oder, am häufigsten, einem Phishing-Angriff. QBot zielt auf Geräte ab, die Windows verwenden, und nutzt Phishing-E-Mails als Ausgangspunkt für den Zugang und Schwachstellen in den Standardanwendungen des Systems wie dem E-Mail-Client von Microsoft, Outlook. Heute, ausgestattet mit einem Modul, das E-Mail-Threads liest, haben die Betreiber von QBot neue Höhen erreicht, um gefälschte E-Mails für ihre Opfer legitimer erscheinen zu lassen. QBot-Phishing-Angriffe stützen sich auf ein umfangreiches Repertoire von Ködern wie gefälschte Rechnungen, Zahlungsaufforderungen, Bankinformationen, Stellenangebote, gescannte Dokumente, Virenerkennungswarnungen und verstörende COVID-19-Benachrichtigungen, die den Empfänger dazu bringen, die infizierte Datei zu öffnen und eingebetteten Makrocode zu aktivieren.
In den aktuellen Kampagnen liefern QBot-Betreiber böswillige Word-, Excel-, RTF- und zusammengesetzte Dokumente. Wenn ein Opfer ein Dokument öffnet, wird die Verbreitung der QBot-Infektionen angeheizt. Der initiale QBot-DLL-Loader wird heruntergeladen und der QBot-Prozess nutzt eine Windows-Aufgabenplanung, um sein Zugriffslevel auf das System zu erhöhen. In nur 30 Minuten wird das gesamte System des Opfers durchforstet.
Verhindern von QBot
QBot ist seit mehr als 15 Jahren auf dem Cybersecurity-Radar und hat sich einen berüchtigten Rang als erfahrene alte Malware-Situation erworben, die über E-Mail verbreitet wird. Angesichts der wachsenden Zahl von E-Mail-Phishing-Kampagnen hat Microsoft eine Standardänderung für fünf Office-Anwendungen angekündigt, die Makros ausführen, d. h., um VBA-Makros, die aus dem Internet stammen, standardmäßig zu blockieren, was ab April 2022 in Kraft tritt.
Diese oben genannte Lösung wird hoffentlich zu einem großen Fortschritt in der Sicherheit für Windows-betriebene Geräte. In der Zwischenzeit helfen Erkennungsregeln von Nattatorn Chuensangarun Sicherheitsfachleuten, die neuesten QBot-Angriffe gegen das Netzwerk der Organisation aufzudecken:
QBot-Malware sammelt Browserinformationen (via process_creation)
QBot-Malware nutzt REG-Prozesse zur Umgehung von Verteidigungsmaßnahmen (via process_creation)
QBot-Malware nutzt msra-Prozess zur Rechteerhöhung (via process_creation)
Die vollständige Liste der Erkennungsregeln im Threat Detection Marketplace-Repository der SOC Prime-Plattform ist verfügbar hier.
Melden Sie sich kostenlos auf der Detection as Code-Plattform von SOC Prime an, um Bedrohungen einfacher, schneller und effizienter mit den besten Praktiken der Branche und geteiltem Fachwissen zu erkennen. Die Plattform ermöglicht es SOC-Fachleuten auch, selbst erstellte Erkennungsinhalte zu teilen, an erstklassigen Initiativen teilzunehmen und ihren Input zu monetarisieren.