Regola della Settimana: Rilevamento del Trojan Qbot

E ancora, vogliamo evidenziare il contenuto per rilevare il malware QBot nella sezione Rule of the Week. Circa un mese fa, una regola semplice ma efficace di Emir Erdogan è già stata pubblicata in questa sezione. Ma il trojan dodicenne continua ad evolversi, e solo pochi giorni fa sono stati scoperti nuovi campioni di questo malware, sulla base dei quali Emir ha creato una nuova regola di Threat Hunting che traccia i cambiamenti nel comportamento di QBot: https://tdm.socprime.com/tdm/info/8DYw876BPWAL/NFgIx3IBQAH5UgbBHY87/?p=1

L’evoluzione del malware non influisce sulle sue funzioni di base, continua a raccogliere l’attività di navigazione, rubare le credenziali dei conti bancari e altre informazioni finanziarie. Gli avversari usano tecniche di phishing per attirare le vittime su siti web che utilizzano exploit per iniettare Qbot tramite un dropper. Lo fa attraverso una combinazione di tecniche che sovvertono le sessioni web della vittima, tra cui keylogging, furto di credenziali, esfiltrazione di cookie e hooking dei processi. L’ultima versione di Qbot aggiunge sia tecniche di rilevamento che di evasione della ricerca. Ha un nuovo strato di confezionamento che mescola e nasconde il codice da scanner e strumenti basati su firme. Include anche tecniche anti-macchina virtuale, che lo aiutano a resistere agli esami forensi.

La regola ha traduzioni per le seguenti piattaforme:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tattiche: Esecuzione

Tecniche: Command-Line Interface (T1059), User Execution (T1204), Windows Management Instrumentation (T1047)