Regel der Woche: Qbot-Trojaner-Erkennung

Und erneut möchten wir den Inhalt zur Erkennung von QBot-Malware im Abschnitt Regel der Woche hervorheben. Vor etwa einem Monat, wurde eine einfache aber effektive Regel von Emir Erdogan bereits in diesem Abschnittveröffentlicht. Aber der zwölf Jahre alte Trojaner entwickelt sich weiter, und vor nur ein paar Tagen wurden frische Samples dieser Malware entdeckt, basierend auf denen Emir eine neue Threat-Hunting-Regel erstellt hat, die Veränderungen im QBot-Verhalten nachverfolgt: https://tdm.socprime.com/tdm/info/8DYw876BPWAL/NFgIx3IBQAH5UgbBHY87/?p=1

Die Entwicklung von Malware beeinflusst nicht ihre grundlegenden Funktionen, sie sammelt immer noch Browser-Aktivitäten, stiehlt Bankkonto-Zugangsdaten und andere Finanzinformationen. Angreifer nutzen Phishing-Techniken, um Opfer auf Websites zu locken, die Exploits verwenden, um Qbot über einen Dropper zu injizieren. Dies geschieht durch eine Kombination von Techniken, die die Web-Sitzungen des Opfers untergraben, einschließlich Keylogging, Credential-Diebstahl, Cookie-Exfiltration und Prozess-Hooking. Die neueste Version von Qbot fügt sowohl Erkennungs- als auch Forschungsevasionstechniken hinzu. Es hat eine neue Pack-Schicht, die den Code vor Scannern und signaturbasierten Werkzeugen verschleiert und verbirgt. Es enthält auch Anti-Virtual-Machine-Techniken, die es ihm ermöglichen, sich der forensischen Untersuchung zu widersetzen.

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, ELK-Stack, RSA NetWitness, LogPoint, Humio 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung

Techniken: Befehlszeilenschnittstelle (T1059), Benutzerausführung (T1204), Windows-Verwaltungsinstrumentation (T1047)