QBot 멀웨어 탐지: 오래된 개의 새로운 기술

[post-views]
2월 16, 2022 · 3 분 읽기
QBot 멀웨어 탐지: 오래된 개의 새로운 기술

늙은 개에게 새로운 재주를 가르칠 수 없다는 말이 있지만, 사이버 범죄자들은 흔한 고정관념을 무시하고 QBot 을(를) 갱신하여 전 세계의 피해자를 대상으로 새로운 악의적 수법을 사용하고 있습니다. 이 ‘베테랑’ 악성코드는 2007년에 처음 등장했지만, 보안 연구자들은 QBot이 악성 트렌드를 타고 꾸준히 업데이트되고 있음을 관찰하고 있습니다.

예를 들어, 보안 연구자들은 QBot 운영자들이 LOLBin(Living Off the Land Binaries)을 점점 더 많이 악용하고 있다고 보고 있습니다. 특히 Regsvr32.exe라는 일반적인 LOLBin이 있는데, 위협 행위자들은 이 명령 줄 유틸리티를 사용하여 Lokibot 및 QBot과 같은 트로이 목마를 피해자의 시스템에 심습니다. 이러한 접근 방식은 여러 루틴 프로세스에서 사용되는 도구인 Regsvr32.exe의 존재로 인해 운영의 성공을 위한 유리한 환경을 조성합니다.

QBot 공격

QBot(QakBot, QuakBot, Pinkslipbot이라고도 함)은 2000년대 후반에 처음 등장했습니다. 이 트로이 목마는 약 15년간 골칫거리가 되어왔으며, 이를 운영하는 사이버 범죄자들은 지속적으로 악의적인 활동을 실행하는 혁신적인 방법을 고안해 왔습니다.

지난 몇 년간, QBot 악성코드 는 광범위한 윈도우 악성코드 패밀리로 성장했으며, 주로 피싱 캠페인에 활용되고 있습니다. 해커들은 이 악성코드를 사용해 은행 및 윈도우 도메인 인증 정보를 탈취하고, 다른 기기를 감염시키며, 랜섬웨어 그룹에 원격 액세스를 제공합니다. 현재 데이터에 따르면 QBot은 다음과 같은 악명 높은 조직인 REvil, PwndLocker, Egregor, ProLock 및 MegaCortex에 의해 랜섬웨어 전달 에이전트 로 사용되어 기업 네트워크에 초기 접근을 획득하는 데 활용되었습니다.

QBot 감염 체인

일반적으로 QBot 감염은 다른 악성코드 감염이나, 가장 흔하게는 피싱 공격에서 비롯됩니다. QBot은 윈도우를 운영하는 기기를 대상으로 하여 피싱 이메일을 초기 접근 지점으로 사용하고, Microsoft’s email client인 Outlook과 같은 시스템 기본 애플리케이션의 취약점을 악용합니다. 현재 이메일 스레드를 읽는 모듈을 장착한 QBot의 해커들은 보다 합법적으로 보이는 거짓 이메일을 만드는데 새로운 정점을 찍었습니다. QBot 피싱 공격은 가짜 송장, 결제 알림, 은행 정보, 구직 제안, 스캔 문서, 바이러스 탐지 경고, 불안스러운 COVID-19 알림 등 다양한 유혹 요소를 활용하며, 수신자가 감염된 파일을 열어 내장된 매크로 코드를 활성화하도록 유도합니다.

현재 캠페인에서는 QBot 운영자들이 악성 Word, Excel, RTF 및 복합 문서를 전달합니다. 피해자가 문서를 열면, QBot 감염의 확산을 촉진합니다. 초기 QBot DLL 로더가 다운로드되고 QBot 프로세스는 Windows 스케줄 작업을 사용하여 시스템에 대한 접근 수준을 높입니다. 불과 30분 만에 피해자의 전체 시스템이 공격당합니다.

QBot 예방

QBot은 이메일을 통해 배포되는 것으로, 이제 15년 넘게 사이버 보안 레이더에 탐지되어 악명 높은 숙련된 ‘말웨어 올드타이머’라는 순위를 얻었습니다. 증가하는 이메일 피싱 캠페인에 비추어, Microsoft는 매크로가 실행되는 다섯 가지 Office 애플리케이션에 대해 기본 변경 사항 을 발표했으며, 이는 2022년 4월부터 인터넷에서 획득한 VBA 매크로를 차단하는 방식으로 이루어집니다. 

위 해결책은 Windows 운영 기기에 대한 엄청난 보안 도약이 될 것으로 기대됩니다. 그 사이에, Nattatorn Chuensangarun 에 의해 작성된 탐지 규칙은 보안 전문가들이 조직의 네트워크에 대한 최신 QBot 공격을 드러내는 데 도움을 줍니다:

Qbot Malware가 브라우저 정보를 수집합니다 (process_creation 경유)

Qbot Malware가 REG 프로세스를 방어 회피에 사용합니다 (process_creation 경유)

Qbot Malware가 msra 프로세스를 특권 승격에 사용합니다 (process_creation 경유)

SOC Prime 플랫폼의 위협 탐지 마켓플레이스 레포지토리의 전체 탐지 목록은 여기.

에서 확인할 수 있습니다. SOC Prime의 Detection as Code 플랫폼에 무료로 가입하여 업계의 모범 사례와 공유된 전문 지식을 활용하여 위협 탐지를 더 쉽게, 더 빠르게, 더 효율적으로 만드십시오. 이 플랫폼은 또한 SOC 전문가들이 그들이 만든 탐지 콘텐츠를 공유하고, 최상위 이니셔티브에 참여하고, 제공된 입력에 대한 수익을 창출할 수 있게 해줍니다.

플랫폼으로 이동 Threat Bounty에 참여

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물