Regla de la Semana: Detección del Troyano Qbot

Y nuevamente, queremos destacar el contenido para detectar el malware QBot en la sección Regla de la Semana. Hace aproximadamente un mes, una regla simple pero efectiva de Emir Erdogan ya fue publicada en esta sección. Pero el troyano de doce años continúa evolucionando, y hace apenas un par de días, se descubrieron muestras frescas de este malware, sobre las cuales Emir creó una nueva regla de Threat Hunting que rastrea cambios en el comportamiento de QBot: https://tdm.socprime.com/tdm/info/8DYw876BPWAL/NFgIx3IBQAH5UgbBHY87/?p=1

La evolución del malware no afecta sus funciones básicas, todavía recopila actividad de navegación, roba credenciales de cuentas bancarias y otra información financiera. Los adversarios usan técnicas de phishing para atraer a las víctimas a sitios web que utilizan exploits para inyectar Qbot a través de un dropper. Lo hace mediante una combinación de técnicas que soslayan las sesiones web de la víctima, incluyendo keylogging, robo de credenciales, exfiltración de cookies y hooking de procesos. La última versión de Qbot añade tanto técnicas de detección como de evasión de investigación. Tiene una nueva capa de empaquetado que codifica y oculta el código de los escáneres y herramientas basadas en firmas. También incluye técnicas anti-máquina virtual, lo que le ayuda a resistir el examen forense.

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Ejecución

Técnicas: Interfaz de Línea de Comandos (T1059), Ejecución de Usuario (T1204), Instrumentación de Administración de Windows (T1047)