Regel der Woche: QakBot-Malware-Erkennung

Der QakBot-Banking-Trojaner (auch bekannt als QBot) wird seit über 10 Jahren in Angriffen auf Organisationen eingesetzt, und seine Autoren überwachen kontinuierlich die Bedrohungslandschaft, um neue Funktionen hinzuzufügen oder diese zu entfernen, wenn sie nicht ordnungsgemäß funktionieren. Im Jahr 2017 besaß diese Malware wurmähnliche Fähigkeiten und war in der Lage, Active Directory-Benutzer zu sperren, um Organisationen zusätzlichen Schaden zuzufügen. Im Jahr 2019 verwendeten Gegner diesen Trojaner in Angriffen auf die US-Regierungsinstitutionen und lieferten ihn zusammen mit der IcedID-Malware über Emotet aus. Auch die Malware-Autoren beibehielten QBot polymorphe Eigenschaften und fügten neue Infektionsvektoren und mehrere Persistenzmechanismen hinzu. Dieser Trojaner wird normalerweise über Phishing-E-Mails mit bösartigen Anhängen verbreitet.

Jetzt „hilft“ QakBot einem neuen Akteur auf der Ransomware-Szene – ProLock Ransomware – dabei, Unternehmensnetzwerke zu infizieren, und sie kündigten ihre Allianz lautstark Ende April mit einem erfolgreichen Angriff auf Diebold Nixdorf an. Angriff auf Diebold Nixdorf. In der Vergangenheit wurde QakBot verwendet, um die MegaCortex-Ransomware auszuliefern, da dieser Trojaner über die Fähigkeiten und zusätzlichen Werkzeuge verfügt, die Ransomware-Betreiber benötigen, um kritische Server zu infizieren. Die Regel von Emir Erdogan ist basierend auf den neuesten Kompromittierungsindikatoren und kann diese Infektion im Netzwerk Ihrer Organisation erkennen: https://tdm.socprime.com/tdm/info/8vslvqdm0uRX/IyHENnIBjwDfaYjK_ZeI/?p=1

Interview mit dem Content-Entwickler: https://socprime.com/en/blog/interview-with-developer-emir-erdogan/

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black,Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Umgehung der Verteidigung, Ausführung, Erstzugriff, Privilegieneskalation, Beharrlichkeit

Techniken: Code Signierung (T1116), Ausführung durch Modulaufruf (T1129), Prozessinjektion (1055), Geplanter Task (1053)

Mehr Inhalte, um diese Malware zu entdecken:

Erkennung des QBot/QakBot-Trojaners (Sysmon Verhalten) von Emir Erdogan – https://tdm.socprime.com/tdm/info/9aOw7wqzGVM7/R0Iyom4ByU4WBiCt_zvQ/

QakBot Detector (Sysmon) von SOC Prime – https://tdm.socprime.com/tdm/info/SK8nqjq4237M/Wm7wzGgBFVBAemBcdw4V/

Qakbot Malware Detector (Sysmon Verhalten) (27-März-2020) von Lee Archinal – https://tdm.socprime.com/tdm/info/Gi5YxC2sRJEO/-EEHK3EBya7YkBmwnOoO/