이번 주의 규칙: Qbot 트로이 목마 탐지

다시 말하지만, 주간 규칙 섹션에서 QBot 멀웨어를 탐지하기 위한 콘텐츠를 강조하고자 합니다. 약 한 달 전, 간단하지만 효과적인 규칙이 Emir Erdogan 에 의해 이미 이 섹션에 게시되었습니다. 그러나 12년 된 트로이 목마는 계속해서 진화하고 있으며, 며칠 전 이에 기반하여 Emir가 QBot 행동 변화를 추적하는 새로운 위협 헌팅 규칙을 생성했습니다: https://tdm.socprime.com/tdm/info/8DYw876BPWAL/NFgIx3IBQAH5UgbBHY87/?p=1

멀웨어의 진화가 그 기본 기능에 영향을 주지는 않으며, 여전히 브라우징 활동을 수집하고, 은행 계정 자격 증명과 기타 금융 정보를 훔칩니다. 공격자는 피싱 기법을 사용하여 피해자를 웹사이트로 유인하여 드로퍼를 통해 QBot을 주입하는 익스플로잇을 사용합니다. 이는 키로깅, 자격 증명 탈취, 쿠키 유출, 프로세스 훅 등을 포함한 기술 조합을 통해 피해자의 웹 세션을 교란합니다. QBot의 최신 버전은 탐지 및 연구 회피 기술을 추가하며, 스캐너 및 서명 기반 도구에서 코드 스크램블링 및 은폐를 통한 새로운 패킹 계층을 포함합니다. 또한, 포렌식 검사를 저항하는 반-가상 머신 기술도 포함합니다.

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, ELK Stack, RSA NetWitness, LogPoint, Humio 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행

기법: 커맨드라인 인터페이스 (T1059), 사용자 실행 (T1204), 윈도우 관리 도구 (T1047)