Regra da Semana: Detecção de Malware QakBot

O trojan bancário QakBot (também conhecido como QBot) tem sido usado em ataques a organizações há mais de 10 anos, e seus autores monitoram continuamente as tendências do cenário de ameaças, adicionando novos recursos ou removendo-os se não funcionarem corretamente. Em 2017, este malware possuía capacidades semelhantes a um verme e era capaz de bloquear usuários do Active Directory para causar danos adicionais às organizações. Em 2019, os adversários usaram este Trojan em ataques às instituições governamentais dos EUA entregando-o junto com o malware IcedID via Emotet. Além disso, os autores do malware mantiveram os recursos polimórficos do QBot e adicionaram novos vetores de infecção e múltiplos mecanismos de persistência. Este Trojan geralmente é espalhado via e-mails de phishing com anexos maliciosos.

Agora, o QakBot está “ajudando” um novo participante na cena do ransomware – o ransomware ProLock – a infectar redes corporativas e eles anunciaram ruidosamente sua aliança no final de abril com um bem-sucedido ataque à Diebold Nixdorf. No passado, o QakBot foi usado para entregar o ransomware MegaCortex, já que este trojan possui as capacidades e ferramentas adicionais de que os operadores de ransomware precisam para infectar servidores críticos. A regra comunitária de Emir Erdogan é baseada nos mais recentes indicadores de comprometimento e é capaz de detectar essa infecção na rede da sua organização: https://tdm.socprime.com/tdm/info/8vslvqdm0uRX/IyHENnIBjwDfaYjK_ZeI/?p=1

Entrevista com o desenvolvedor de conteúdo: https://socprime.com/en/blog/interview-with-developer-emir-erdogan/

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Táticas: Evasão de Defesa, Execução, Acesso Inicial, Escalação de Privilégios, Persistência

Técnicas: Assinatura de Código (T1116), Execução através de Carregamento de Módulo (T1129), Injeção de Processo (1055), Tarefa Agendada (1053)

Mais conteúdo para detectar este malware:

Detecção do Trojan QBot/QakBot (Comportamento Sysmon) por Emir Erdogan – https://tdm.socprime.com/tdm/info/9aOw7wqzGVM7/R0Iyom4ByU4WBiCt_zvQ/

Detector de QakBot (Sysmon) pela SOC Prime – https://tdm.socprime.com/tdm/info/SK8nqjq4237M/Wm7wzGgBFVBAemBcdw4V/

Detector de Malware Qakbot (Comportamento Sysmon)(27-Março-2020) por Lee Archinal – https://tdm.socprime.com/tdm/info/Gi5YxC2sRJEO/-EEHK3EBya7YkBmwnOoO/