今週のルール: QakBotマルウェア検出

[post-views]
5月 22, 2020 · 5 分で読めます
今週のルール: QakBotマルウェア検出

QakBot 銀行トロイの木馬(別名 QBot)は、10年以上にわたって企業への攻撃に使用されており、その作者は脅威の状況のトレンドを継続的に監視し、新機能を追加したり、うまく動作しない場合は削除したりしています。 2017年には、 このマルウェアはワームのような機能を持ち、Active Directory ユーザーをロックして組織にさらなる損害を与えることができました。2019年には、敵対者がこのトロイの木馬を使用して 米国政府機関 への攻撃を行い、Emotet 経由で IcedID マルウェアとともに配信しました。また、マルウェアの作者は QBot の多様化機能を保持し、新しい感染ベクトルと複数の持続性メカニズムを追加しました。このトロイの木馬は通常、悪意のある添付ファイルを含むフィッシングメールを通じて拡散されます。 QBot polymorphic features and added new infection vectors and multiple persistence mechanisms. This Trojan is usually spread via phishing emails with malicious attachments.

現在、QakBot はランサムウェアの新たなプレイヤーである ProLock ランサムウェアと「協力」して企業ネットワークに感染しており、彼らは成功した Diebold Nixdorf に対する攻撃とともに、4月末に彼らの同盟を声高に発表しました。過去には、QakBot は MegaCortex ランサムウェアを配信するために使用され、このトロイの木馬はランサムウェア運用者が重要なサーバーに感染させるために必要な能力と追加ツールを持っています。Emir Erdogan によるコミュニティルールは、最新の侵害指標に基づいており、組織のネットワーク内でこの感染を検出することができます: https://tdm.socprime.com/tdm/info/8vslvqdm0uRX/IyHENnIBjwDfaYjK_ZeI/?p=1

コンテンツ開発者へのインタビュー: https://socprime.com/en/blog/interview-with-developer-emir-erdogan/

ルールは以下のプラットフォーム用に翻訳されています:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black,Elastic Endpoint

 

MITRE ATT&CK: 

戦術: 回避, 実行, 初期アクセス, 権限昇格, 持続性

技術: コード署名 (T1116), モジュールロードによる実行 (T1129), プロセス注入 (1055), スケジュールされたタスク (1053)

 

このマルウェアを特定するためのさらなるコンテンツ:

QBot/QakBot トロイの木馬の検出 (Sysmon 動作) – Emir Erdogan による https://tdm.socprime.com/tdm/info/9aOw7wqzGVM7/R0Iyom4ByU4WBiCt_zvQ/

QakBot 検出器 (Sysmon) – SOC Prime による https://tdm.socprime.com/tdm/info/SK8nqjq4237M/Wm7wzGgBFVBAemBcdw4V/

Qakbot マルウェア検出器 (Sysmon 動作) (2020年3月27日) – Lee Archinal による https://tdm.socprime.com/tdm/info/Gi5YxC2sRJEO/-EEHK3EBya7YkBmwnOoO/

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事