QakBot銀行惡意軟體導致大量 Active Directory 被鎖定

近日，IBM公司的惡意軟體研究人員注意到，成百上千個Active Directory用戶被鎖定在其公司的域名之外，而此次事件正是由Qbot銀行惡意軟體所造成的。

關於Active Directory

活動目錄（Active Directory）是面向 Windows Standard Server、Windows Enterprise Server 以及 Windows Datacenter Server 的目錄服務。它存儲了有關網路對象的信息，並且讓管理員和用戶能夠輕鬆地查找和使用這些信息。Microsoft Active Directory 服務是Windows 平台的核心組件，它為用戶管理網路環境各個組成要素的標識和關係提供了一種有力的手段。

Qbot魅影重現

據悉Qbot（又稱QakBot）銀行惡意軟體首次出現於2009年，並隨著時間流逝不斷地得以改善演變。Qbot銀行惡意軟體旨在針對企業銀行賬戶，竊取用戶資金，其主要通過共享驅動器和可移動設備來實現網路蠕蟲功能。

除了竊取用戶賬號資金外，Qbot銀行惡意軟體還可以竊取用戶個人數據，如數字證書、按鍵信息、緩存憑證、HTTP（S）會話認證數據、Cookie、身份驗證令牌以及 FTP和POP3 登錄憑證等。

近期，該惡意軟體主要針對美國商業銀行服務開展攻擊活動，包括美國國家財政部（treasury）、企業銀行以及商業銀行等。

根據IBM發布的博客文章所示，

這是IBM X-Force研究小組第一次發現惡意軟體可以導致AD被鎖定在受影響的企業網路中的案例。

IBM研究人員表示，

QakBot是模塊化的多線程惡意軟體，其各種組件可以實施網上銀行憑證盜竊、後門功能、SOCKS代理、深度的反取證能力以及破壞反病毒（AV）工具的能力等。除了完善的逃避技巧外，如果給予其管理員許可權，QakBot當前的變體還可以禁用端點上運行的安全軟體。」

QakBot銀行惡意軟體實施了特殊的檢測機制，利用快速突變（rapid mutation）來規避反病毒工具檢測。

IBM進一步解釋稱，

在感染新的端點後，該惡意軟體會使用快速突變來規避AV系統檢測。通過對惡意軟體文件進行細微的修改，以及在其他情況下，重新編譯整個代碼，以便使其看起來無法識別。

此外，QakBot銀行惡意軟體還利用dropper進行傳播該惡意軟體，研究人員發現，它使用延遲執行（10至15分鐘）來逃避檢測。據悉，dropper執行了一個explorer.exe實例，並將QakBot動態鏈接庫（DLL）注入到該進程中，以破壞其原始文件傳播惡意軟體。

dropper使用ping.exe實用程序調用一個ping命令，它將在一個循環中重複六次：

C:WindowsSystem32cmd.exe」 /c ping.exe -n 6 127.0.0.1 & type 「C:WindowsSystem32autoconv.exe」 à 「C:UsersUserNameDesktop7a172.exe

一旦ping完成，原始QakBot dropper的內容將被合法的Windows autoconv.exe命令覆蓋。QakBot使用註冊表運行鍵（Registry runkey）和計劃任務（scheduled tasks）在目標計算機上獲益。為了在目標網路中進行傳播，QakBot銀行惡意軟體還使用 C＆C伺服器的特定命令來實現自動和按需的橫向移動。

IBM研究人員繼續分析道，

為了訪問和感染目標網路中的其他計算機，QakBot可能會收集受感染計算機上的用戶名，並使用它們來嘗試登錄域名中的其他計算機設備。如果惡意軟體無法從域名控制器和目標計算機中枚舉用戶名，惡意軟體將會使用硬編碼的用戶名列表。

此外，該惡意軟體還可以利用「瀏覽器中間人」（Man-in-the-Browser，簡稱MitB）攻擊，將惡意代碼注入到在線銀行會話中，以便通過其控制的域名中獲取腳本。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！