이번 주의 규칙: QakBot 맬웨어 탐지

QakBot 은행 트로이 목마(일명 QBot)는 10년 이상 동안 조직에 대한 공격에 사용되었으며, 작성자는 지속적으로 위협 환경 동향을 모니터링하며 제대로 작동하지 않으면 새로운 기능을 추가하거나 제거합니다. 2017년에, 이 악성코드는 웜 같은 기능을 가지고 있으며, 조직에 추가적인 피해를 주기 위해 Active Directory 사용자를 잠글 수 있었습니다. 2019년에는 대항자들이 이 트로이 목마를 미국 정부 기관 에 대한 공격에서 Emotet을 통해 IcedID 악성코드와 함께 전달했습니다. 또한 악성 코드 작성자는 QBot의 다형성 기능을 유지하고 새로운 감염 벡터와 여러 지속성 메커니즘을 추가했습니다. 이 트로이 목마는 일반적으로 악성 첨부 파일이 포함된 피싱 이메일을 통해 전파됩니다. QBot polymorphic features and added new infection vectors and multiple persistence mechanisms. This Trojan is usually spread via phishing emails with malicious attachments.

이제 QakBot은 ProLock 랜섬웨어라는 새로운 플레이어가 기업 네트워크를 감염시키는 데 “도움”을 주고 있으며, 4월 말에 성공적인 Diebold Nixdorf에 대한 공격으로 그들의 동맹을 크게 발표했습니다. 과거에 QakBot은 MegaCortex 랜섬웨어를 전달하는 데 사용되었으며, 이 트로이 목마는 랜섬웨어 운영자가 중요한 서버를 감염시키기 위해 필요한 기능과 추가 도구를 가지고 있습니다. Emir Erdogan의 커뮤니티 규칙은 최신 침해 지표를 기반으로 하며, 조직의 네트워크에서 이 감염을 감지할 수 있습니다: https://tdm.socprime.com/tdm/info/8vslvqdm0uRX/IyHENnIBjwDfaYjK_ZeI/?p=1

콘텐츠 개발자와의 인터뷰: https://socprime.com/en/blog/interview-with-developer-emir-erdogan/

규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black,Elastic Endpoint

MITRE ATT&CK: 

전술: 방어 회피, 실행, 초기 접근, 권한 상승, 지속성

기법: 코드 서명 (T1116), 모듈 로드를 통한 실행 (T1129), 프로세스 인젝션 (1055), 예약 작업 (1053)

이 악성코드를 발견할 수 있는 더 많은 콘텐츠:

Emir Erdogan의 QBot/QakBot 트로이 목마 감지(Sysmon 동작) – https://tdm.socprime.com/tdm/info/9aOw7wqzGVM7/R0Iyom4ByU4WBiCt_zvQ/

SOC Prime의 QakBot 탐지기(Sysmon) – https://tdm.socprime.com/tdm/info/SK8nqjq4237M/Wm7wzGgBFVBAemBcdw4V/

Lee Archinal의 Qakbot Malware Detector (Sysmon 행위)(2020년 3월 27일) – https://tdm.socprime.com/tdm/info/Gi5YxC2sRJEO/-EEHK3EBya7YkBmwnOoO/