Qakbot:“偏爱”金融企业账户的木马

安全
尽管不是新的木马,但以其主要的可执行文件_qakbot.dll命名的Qakbot木马,却具有一些之前很少在金融犯罪软件中出现的独特属性。对于金融企业而言,Qakbot不再只是一笑而过的事。

尽管不是新的木马,但以其主要的可执行文件_qakbot.dll命名的Qakbot木马,却具有一些之前很少在金融犯罪软件中出现的独特属性。对于金融企业而言,Qakbot不再只是一笑而过的事。

我们对Qakbot的最新研究表明,它的触发列表几乎完全包含了美国的大型金融机构,还有几个非美国机构的实例。此外,Qakbot还是第一款“偏爱”这些金融机构企业/公司账户的木马。Qakbot为什么要局限于此?为什么不扩大到公司账户之外,侵害普通消费者?答案就是经济,Qakbot的目标就是骗取更多的金钱,而这要远远超过一般私人网上账户中能够获取的金额。虽然Qakbot并不是第一款也不是唯一一款针对这些账户的木马,但它却是唯一一款在设计上严格表现出有这类“偏爱”的木马。

到底什么是Qakbot?

Qakbot木马究竟是如何从企业银行账户中获取金钱的?目前仍在调查之中。令人惊讶的是,我们并没有追踪到HTML或JavaScript代码注入,也没有追踪到通常用于规避保护这些高资产账户的双因素认证机制的浏览器中间人攻击。不过,我们怀疑Qakbot确实有某种可实时完成攻击的模块,否则它就不会针对企业账户了。

Qakbot木马的另一个独特属性就是它的扮装。 Qakbot是终极多面手,它设计成像蠕虫一样的传播,每次可以感染多台机器,同时却又像普通的银行木马一样窃取数据。Qakbot将共享网络作为其攻击目标,同时其把可执行文件复制到共享目录中;而一种能让其在企业网络上传播的技术,使每台连接到此类网络的计算机都极易受到攻击。虽然它并不是完全原创的,但蠕虫/木马的结合却是非常罕见和有效的。

Qakbot还是一个组织发电机。它是第一个在客户端侧将目标凭证从其他窃取的信息中分离出来,而不是放在卸放区的木马。在受害者计算机上将目标凭证与其他信息区分开之后,目标凭证就被发送到Qakbot的卸放服务器,而Qakbot没有特别针对的、从实体窃取的凭证,则利用劫持的FTP账户上传到合法的FTP服务器上。

Qakbot所窃取信息的绝对数量及其细节令人咋舌。每次受感染的用户访问实体网站时,木马就会将受害者计算机上传输的数据组织到3个独立的文件中:系统信息(IP地址,DNS服务器,国家,州,城市,安装的应用软件等;见图1 ),Seclog(HTTP/S POST请求;见图 2),和受保护存储区(保存在Internet Explorer受保护存储区中的信息,以及自动完成的凭证,包括用户名,密码,以及浏览器历史;见图 3)。这些文件按每个用户进行组织,同时连同全面的系统和用户账户信息。何必为每台受感染计算机上定义的每个用户账户汇集如此广泛的系统数据?所有的这些信息很可能由Qakbot的作者汇集起来以备将来之用。

Qakbot木马迄今为止最著名的受害者是英国公共资助的医疗保健系统国家卫生服务(NHS)。Qakbot感染了超过1100台电脑,但却没有证据表明病人数据遭到了侵害,来自Facebook,Twitter,Hotmail,Gmail和雅虎的4GB的个人资料被发现通过NHS受监控的服务器传出。#p#

Qakbot的其他特性

Qakbot两个脱颖而出的广泛隐形功能尤其不同寻常:第一个是Qakbot广泛的实验室回避程序,旨在确保该木马不会在安全公司的研究实验室运行。Qakbot的开发者肯定不是为了使他们的犯罪软件避免被研究人员研究而设计。然而,与那些只检查是否运行在虚拟机上从而确定是否继续自行安装的其他一些木马程序不同的是,Qakbot的作者不厌其烦地设置了七次测试以确保他们的木马不会被安全研究人员进行反向工程并做详细研究。

 

图1 从僵尸计算机发送给Qakbot C&C 服务器的SI – 系统信息文件  

图1 从僵尸计算机发送给Qakbot C&C 服务器的SI – 系统信息文件

图 2: Seclog -从僵尸计算机发送给Qakbot C&C 服务器的文件

图 2: Seclog -从僵尸计算机发送给Qakbot C&C 服务器的文件 

图3 PS - 从僵尸计算机发送给Qakbot C&C 服务器的受保护存储区文件

图3 PS - 从僵尸计算机发送给Qakbot C&C 服务器的受保护存储区文件

此外,更不寻常的是,如果Qakbot识别出它正在实验室环境中运行,它就会特意将有关的IP地址报告给木马卸放区:木马将系统的IP地址和bot ID发送给Qakbot的卸放区。这种类型的通知很可能得以执行,将该IP地址列入黑名单,这样木马就不会再试图感染同一个研究实验室。

实验室追踪到的第二个不寻常的隐形功能,就是Qakbot作者为压缩木马所窃凭证而自行开发的独特压缩格式,实验室见证的第一个此类编程壮举,因为大多数银行木马都只是简单地使用流行的压缩格式如ZIP, RAR, 和TARGZ。Qakbot作者专有的压缩格式迫使专业安全研究人员不得不耗费大量的时间和精力编写了一个合适的解压缩程序。#p#

每月网络钓鱼攻击

刚刚过去的9月,RSA在世界各地共发现16274起网络钓鱼攻击,比8月份减少了9%。减少的大部分可直接归因于针对那些通常作为频繁攻击目标的组织所发起攻击的减少。

每月网络钓鱼攻击#p#

遭受攻击的品牌数

9月份共有178个品牌遭到了攻击,比8月份减少了18%。这是首次在一年时间里作为攻击目标的品牌数量下降至200个以下。9月份只有七家组织第一次遭受到网络钓鱼攻击,这一数字相比于RSA在正常月份所见到的数量相对较低。

遭受攻击的品牌数#p#

美国境内遭受攻击的金融机构细分

9月份,美国信用合作社遭受了6%的网络钓鱼攻击,要比8月份的3%高。全国性美国银行遭受了64%的攻击,只比8月份减少了1%。9月份是全国性的美国银行在其金融服务业中连续7个月遭受绝大多数网络钓鱼攻击的月份。

美国境内遭受攻击的金融机构细分#p#

托管网络钓鱼攻击最多的前十位国家

每十个网络钓鱼攻击中就有6个在美国托管。韩国托管了7%的网络钓鱼攻击,比8月份增加了2%。8月份托管数量处于第二位的巴西,在9月份只托管了2%的攻击。

在过去六个月中,一直托管着大部分网络钓鱼攻击的国家是美国,英国,德国,加拿大,澳大利亚,法国,韩国和俄罗斯。

攻击数量最多的前十位国家#p#

攻击数量最多的前十位国家

9月份,美国所遭受的网络钓鱼式攻击数量下降了5%,英国下降了3%。与此同时,中国的网络钓鱼攻击数量在9月份增长了3%。

在过去六个月中,遭受着网络钓鱼攻击较多的国家是美国,英国,南非,中国,意大利,加拿大和荷兰。

攻击数量最多的前十位国家

 #p#

按遭受攻击品牌划分的前十位国家

美国,英国,印度和加拿大是9月份作为网络钓鱼攻击目标的品牌数量最多的国家。阿拉伯联合酋长国,连续第三个月成为遭受攻击的品牌数量最多的国家之一。

在过去的六个月中,作为攻击目标的品牌数量最多的国家是美国,英国,意大利,加拿大,印度,澳大利亚和南非。

按遭受攻击品牌划分的前十位国家

 

【编辑推荐】

  1. Qakbot传播像蠕虫 攻击像木马
  2. Qakbot每周窃取2GB保密信息
  3. 五款主流杀毒软件查杀“绑架型木马”大比拼
  4. 揭开绑架型木马的“画皮”
责任编辑:佟健 来源: 51CTO.com
相关推荐

2021-09-14 09:00:08

银行木马木马QakBo

2010-10-28 14:21:18

2013-03-26 11:12:37

金融行业木马攻击赛门铁克

2021-10-20 20:33:19

办公

2018-01-16 23:00:50

云计算云服务器云服务

2018-06-22 11:24:57

企业985技术人员

2013-06-03 13:25:52

2017-08-04 15:03:36

数据存储云安全

2022-07-05 13:49:38

勒索团伙QakBot银行木马

2020-10-26 10:15:33

木马攻击

2015-07-13 09:01:23

2021-11-16 11:57:52

木马QBot攻击

2022-04-08 09:57:20

恶意软件黑客信息泄露

2022-08-02 15:05:58

安全帐户劫持数据

2023-06-27 19:11:23

2020-05-19 20:45:27

MySQLref优化器

2022-04-18 11:46:44

银行系统SSRF漏洞信息泄露

2010-11-11 10:50:44

2020-11-12 09:42:32

安全木马金融

2010-07-09 16:47:57

点赞
收藏

51CTO技术栈公众号