همانطور که در مقالات قبلی اشاره شد، QakBot که با نام های Quakbot , Qbot یا pinkslipbot نیز شناخته می شود، یک بدافزار تروجان بانکی است که بیش از یک دهه است که وجود دارد. در سال های اخیر، QakBot به یکی از تروجان های بانکی پیشرو در سراسر جهان تبدیل شده است که در واقع هدف اصلی آن سرقت اطلاعات بانکی می باشد.
بیشتر آلودگی های Qbot توسط اسناد XLS انجام می شود اما اخیرا شروع به استفاده از فایل های lnk. برای آلوده کردن ماشین های مورد نظر خود کردند.
در این نوع حملات، بردار اولیه فایل HTML است که حاوی یک فایل zip با مسیر هدف فایل lnk. می باشد.هنگامی که کاربر فایل lnk. را باز می کند، کدهای تعبیه شده داخلی اجرا می شود و زنجیره آلودگی خود را شروع می کند.
فایل های lnk یک میانبر یا لینک است که توسط ویندوز به عنوان مرجع به یک فایل، پوشه یا برنامه اصلی استفاده می شود که شامل هدف میانبر، مکان و نام فایل و همچنین برنامه است که فایل مورد نظر را باز می کند و همچنین شامل یک کلید میانبر اختیاری نیز می باشد. در ویندوز می توان فایل را با کلیک راست روی فایل، پوشه یا برنامه، اجرایی کرد و سپس میانبر را ایجاد کرد.
QakBot VIA LNK چگونه کار می کند؟
ابزار Ping از درخواست اکو و پیام های پاسخ در ICMP که یک امکان جدایی ناپذیر برای راهبری و نگهداری از شبکه IP است، استفاده می کند. در اینجا ابتدا پینگ بسته های ICMP را به مقصد ارسال می کند سپس منتظر پاسخ اکو می ماند. Curl.exe فایل اجرایی اصلی برای بازدید از سایت است. CURL یک ابزار خط فرمان و کتابخانه ای برای انتقال داده ها با url است. معمولا در یک فایل داده عمومی، اطلاعات خاص برنامه مورد نظر خود را ذخیره می کند. در اینجا، خط فرمان هدفمند به وضوح فایل dat. مخرب را نشان می دهد که فایل Payload را دانلود می کند.
راه هایی برای کاهش این خطر پذیری
- قطع دسترسی فعال سازی ماکرو کاربران
- توصیه به کاربران برای باز نکردن ایمیل های مشکوک و عدم وارد کردن دستی URL های درخواست شده در ایمیل
روش های تشخیص این حمله
با استفاده از آنتی ویروس، اجزای تهدید به عنوان بدافزار شناخته می شوند.
استفاده از آنتی ویروس هایی که قابلیت های آنتی ویروس نسل بعدی از جمله یادگیری ماشینی و تشخیص رفتار را در خود جای داده اند.
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- شناسایی بدافزار QakBot
- Ioc های مرتبط با زیرساخت شبکه QakBot
- url دانلود QakBot
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Reconnaissance | Resource Development | Initial Access | Execution | Persistence | Discovery | Collection | Command and Control |
| Active Scanning | Acquire Infrastructure | Drive-by Compromise | Command and Scripting Interpreter | Account Manipulation | Account Discovery | Adversary-in-the-Middle | Application Layer Protocol |
| Gather Victim Host Information | Compromise Accounts | Exploit Public-Facing Application | Container Administration Command | BITS Jobs | Application Window Discovery | Archive Collected Data | Communication Through Removable Media |
| Gather Victim Identity Information | Compromise Infrastructure | External Remote Services | Deploy Container | Boot or Logon Autostart Execution | Browser Bookmark Discovery | Audio Capture | Data Encoding |
| Gather Victim Network Information | Develop Capabilities | Hardware Additions | Exploitation for Client Execution | Boot or Logon Initialization Scripts | Cloud Infrastructure Discovery | Automated Collection | Data Obfuscation |
| Gather Victim Org Information | Establish Accounts | Phishing | Inter-Process Communication | Browser Extensions | Cloud Service Dashboard | Browser Session Hijacking | Dynamic Resolution |
| Phishing for Information | Obtain Capabilities | Replication Through Removable Media | Native API | Compromise Client Software Binary | Cloud Service Discovery | Clipboard Data | Encrypted Channel |
| Search Closed Sources | Stage Capabilities | Supply Chain Compromise | Scheduled Task/Job | Create Account | Cloud Storage Object Discovery | Data from Cloud Storage Object | Fallback Channels |
| Search Open Technical Databases | Trusted Relationship | Shared Modules | Create or Modify System Process | Container and Resource Discovery | Data from Configuration Repository | Ingress Tool Transfer | |
| Search Open Websites/Domains | Valid Accounts | Software Deployment Tools | Event Triggered Execution | Debugger Evasion | Data from Information Repositories | Multi-Stage Channels | |
| Search Victim-Owned Websites | System Services | External Remote Services | Domain Trust Discovery | Data from Local System | Non-Application Layer Protocol | ||
| User Execution | Hijack Execution Flow | File and Directory Discovery | Data from Network Shared Drive | Non-Standard Port | |||
| Windows Management Instrumentation | Implant Internal Image | Group Policy Discovery | Data from Removable Media | Protocol Tunneling | |||
| Modify Authentication Process | Network Service Discovery | Data Staged | Proxy | ||||
| Office Application Startup | Network Share Discovery | Email Collection | Remote Access Software | ||||
| Pre-OS Boot | Network Sniffing | Input Capture | Traffic Signaling | ||||
| Scheduled Task/Job | Password Policy Discovery | Screen Capture | Web Service | ||||
| Server Software Component | Peripheral Device Discovery | Video Capture | |||||
| Traffic Signaling | Permission Groups Discovery | ||||||
| Valid Accounts | Process Discovery | ||||||
| Query Registry | |||||||
| Remote System Discovery | |||||||
| Software Discovery | |||||||
| System Information Discovery | |||||||
| System Location Discovery | |||||||
| System Network Configuration Discovery | |||||||
| System Network Connections Discovery | |||||||
| System Owner/User Discovery | |||||||
| System Service Discovery | |||||||
| System Time Discovery | |||||||
| Virtualization/Sandbox Evasion |