今週のルール: Qbotトロイの木馬の検出

そして再び、QBotマルウェアを検出するためのコンテンツを「今週のルール」セクションで強調したいと思います。約 1ヶ月前に、 Emir Erdogan によるシンプルだが効果的なルールが既にこの セクションで公開されました。しかし、12年経ったトロイの木馬は進化を続け、数日前にもこのマルウェアの新しいサンプルが発見され、これに基づいてEmirがQBotの挙動の変化を追跡する新たなThreat Huntingルールを作成しました： https://tdm.socprime.com/tdm/info/8DYw876BPWAL/NFgIx3IBQAH5UgbBHY87/?p=1

マルウェアの進化はその基本的な機能に影響を与えません。それは依然としてブラウジング活動を収集し、銀行口座の認証情報およびその他の金融情報を盗みます。攻撃者はフィッシング技術を使用して、Qbotをドロッパー経由で注入するエクスプロイトを使用するウェブサイトに犠牲者を誘導します。キーロギング、認証情報の盗難、クッキーの抽出、プロセスフックを含む手法の組み合わせで被害者のウェブセッションを壊します。Qbotの最新バージョンは、検出および研究回避技術を追加しています。スキャナーやシグネチャベースのツールからコードを難読化し隠す新しいパッキングレイヤーを持ち、フォレンジック調査に耐えるためのアンチ仮想マシン技術も含まれています。

このルールは以下のプラットフォーム向けに翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 実行

テクニック: コマンドラインインターフェース (T1059)、ユーザー実行 (T1204)、Windows Management Instrumentation (T1047)