خرید vpn خوب

Varonis یک فشار جدید از بدافزار بانکی Qbot را کشف کرد

ما یک نوع جدید دیگر از نرم افزارهای مخرب را کشف کرده و معکوس کرده ایم که به جمع آوری داده های حساس مانند کوکی های مرورگر ، اطلاعات گواهی دیجیتالی ، ضربه زدن به کلید ، اعتبار و داده های مربوط به قربانیان خود می پردازد. کلاهبرداری مالی.

تیم های تحقیقاتی و پزشکی قانونی وارونیس در سال 2019 به چندین عفونت Qbot پاسخ دادند ، بیشتر در ایالات متحده. به نظر می رسد بازیگران تهدید مشغول کار بوده اند: آنها با ایجاد عملکردهای جدید و همچنین بهبود قابلیت های SecOps ، انواع جدیدی را ایجاد کرده اند. این سویه در دو جنبه اصلی متفاوت است:

  • به جای رمزهای عبور کاربر ناخواسته دامنه ، کرنش از کاربر به خطر افتاده برای نقشه برداری سهام شبکه های موجود استفاده می کند.
  • این فشار داده های قربانی را به جای استفاده از درخواست های HTTP POST به سرور FTP می فرستد.

کشف

یکی از مشتریان ما پس از دریافت هشدار از بستر امنیتی داده های وارونیس دریافت که حساب کاربری از مبنای رفتاری خود منحرف شده و به تعداد غیرعادی دستگاه های شبکه دسترسی پیدا کرده است. مشتری سپس از دستگاه مشکوک به پرونده های AV (دستگاه مشکوک) نگاه کرد و از همان زمان به هشدارهای پرونده غیر آلوده آلوده توجه کرد.

پرونده های unhandled در پوشه temp user بودند و دارای .vbs و بودند. پسوند zip . تیم پزشکی قانونی Varonis به مشتری کمک کرد تا نمونه پرونده های مخرب را استخراج کند. تیم تحقیقاتی ما آنها را مورد تجزیه و تحلیل قرار داد و نوع جدید Qbot را کشف کرد.

چگونه کار می کند

ما پرونده آلوده را در محیط آزمایشگاه خود اجرا کردیم و شاخص های مشابهی را با نمونه های قبلی در مورد Qbot ما یافتیم – تزریق به "explorer.exe" پردازش ، اتصال به همان URL های از راه دور ، همان روش های ماندگار در رجیستری و دیسک و جایگزینی مشابه شواهد دیسک با پرونده "calc.exe".

این سویه حاوی یک پرونده پیکربندی رمزگذاری شده است ، که گمراه کننده با پسوند پرونده ".dll" . با استفاده از تجزیه و تحلیل دینامیکی فرآیند explorer.exe ، ما مشخص کردیم که کلید فایل پیکربندی رمزگذاری شده RC4 ، هش SHA1 یک رشته منحصر به فرد است که بدافزار برای هر دستگاه ایجاد می کند (می دانیم که تصادفی نیست زیرا نوع Qbot قبلی را انتخاب کرده است) همان رشته برای همان دستگاه).

این داده پیکربندی است که ما برای دستگاه خود رمزگشایی کرده ایم:

Qbot II داده پیکربندی

داده های پیکربندی شامل:

  • زمان نصب
  • آخرین زمان تماس از C2
  • آدرس IP قربانی خارجی
  • لیست سهام شبکه در محیط قربانی

فاز I – Dropper

نام پرونده: JVC_82633.vbs

SHA1: f38ed9fec9fe4e6451645724852aa2da9fce1be9

تقریباً مانند نسخه قبلی ، این نسخه از Qbot از یک فایل VBS نیز برای بارگیری ماژول های اصلی بدافزار استفاده می کند.

فاز II – پایداری و پردازش قبلی نمونه ، لو ader ماژول های بدافزار اصلی را اجرا می کند و پایداری کسب می کند. این نسخه خودش را به٪٪ Appdata٪ Roaming Microsoft {Randomized String copies به جای٪ Appdata٪ Roaming {Randomized String copies کپی می کند ، اما مقادیر رجیستری و روال برنامه ریز کار یکسان بودند.

بار اصلی تزریق می شود

فاز III – استخراج داده ها: به سرور مهاجم

پس از برقراری پایداری ، نرم افزارهای مخرب سعی می کند به سرور C2 خود در محتوای URI متصل شود.bigflimz.com. این نسخه داده های حساس را از دستگاه قربانی جمع آوری می کند ، آن را رمزگذاری می کند و آن را از طریق FTP به سرور با استفاده از گواهینامه های رمزگذاری شده سخت می فرستد.

این سرور حاوی پرونده های رمزگذاری شده است که از قربانیان جمع آوری شده ، با یک کنوانسیون نامگذاری که به دنبال آن "artic1e- * 6 کاراکتر است. پس از 6 شماره * – * زمان استاندارد * .zip ".

ما به سرور FTP وارد شدیم و این فهرست را فاش می کنیم:

Qbot II FTP Server

Qbot II FTP Server

ما هنوز نتوانسته ایم پرونده های پستی را رمزگشایی کنیم تا مشخص شود مهاجم از چه اطلاعاتی استفاده می کند.

Remediation & Recovery

از آنجا که دریافتیم که فقط یک دستگاه آلوده است ، توصیه های اصلاح ما شد. :

  • دستگاه آلوده را از شبکه جدا کنید و درایو را پاک کنید.
  • IOC ها را به سایر راه حل های امنیتی اضافه کنید تا مطمئن شوید هیچ وسیله دیگری فایلهای آلوده ندارد یا اتصال به آدرسهای IP مخرب و غیره را ایجاد می کند.
  • توجه نزدیک هشدارهای آتیه وارونیس ، به ویژه موارد مرتبط با مقادیر غیر طبیعی دسترسی دستگاه.