Règle de la Semaine : Détection du Malware QakBot

Le cheval de Troie bancaire QakBot (alias QBot) a été utilisé dans des attaques contre des organisations depuis plus de 10 ans, et ses auteurs surveillent en continu les tendances du paysage des menaces, ajoutant de nouvelles fonctionnalités ou les supprimant si elles ne fonctionnent pas correctement. En 2017, ce malware possédait des capacités de type ver et était capable de verrouiller les utilisateurs d’Active Directory pour causer des dommages supplémentaires aux organisations. En 2019, les adversaires ont utilisé ce cheval de Troie dans des attaques contre les institutions gouvernementales américaines en le délivrant ainsi que le malware IcedID via Emotet. De plus, les auteurs du malware ont conservé les fonctionnalités polymorphiques de QBot et ont ajouté de nouveaux vecteurs d’infection et plusieurs mécanismes de persistance. Ce cheval de Troie est généralement diffusé via des emails de phishing avec des pièces jointes malveillantes.

Désormais, QakBot « aide » un nouveau joueur sur la scène des ransomwares – le ransomware ProLock – à infecter les réseaux d’entreprises et ils ont annoncé bruyamment leur alliance à la fin avril avec une attaque réussie sur Diebold Nixdorf. Par le passé, QakBot a été utilisé pour délivrer le ransomware MegaCortex, car ce trojan possède les capacités et les outils supplémentaires dont les opérateurs de ransomwares ont besoin pour infecter des serveurs critiques. La règle communautaire d’Emir Erdogan est basée sur les derniers indicateurs de compromission et est capable de détecter cette infection dans le réseau de votre organisation : https://tdm.socprime.com/tdm/info/8vslvqdm0uRX/IyHENnIBjwDfaYjK_ZeI/?p=1

Entretien avec le développeur de contenu : https://socprime.com/en/blog/interview-with-developer-emir-erdogan/

La règle a des traductions pour les plates-formes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR : Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tactiques : Evasion de Défense, Exécution, Accès Initial, Escalade de Privilèges, Persistance

Techniques : Signature de Code (T1116), Exécution par Chargement de Module (T1129), Injection de Processus (1055), Tâche Planifiée (1053)

Plus de contenu pour repérer ce malware :

Détection du Cheval de Troie QBot/QakBot (Comportement Sysmon) par Emir Erdogan – https://tdm.socprime.com/tdm/info/9aOw7wqzGVM7/R0Iyom4ByU4WBiCt_zvQ/

Détecteur QakBot (Sysmon) par SOC Prime – https://tdm.socprime.com/tdm/info/SK8nqjq4237M/Wm7wzGgBFVBAemBcdw4V/

Détecteur de Malware Qakbot (Comportement Sysmon)(27-Mars-2020) par Lee Archinal – https://tdm.socprime.com/tdm/info/Gi5YxC2sRJEO/-EEHK3EBya7YkBmwnOoO/