Qbot回归,已感染5.4万台计算机

安全 终端安全
近日,BAESystems的安全人员发表了一篇关于Qbot网络感知蠕虫回归的调查报告,指出已经感染了5.4万台计算机。

近日,BAESystems的安全人员发表了一篇关于Qbot网络感知蠕虫回归的调查报告,指出已经感染了5.4万台计算机。

[[165386]]

百科

Qbot蠕虫,也叫Qakbot,并不是新出现的恶意软件。最早在2009年被发现,该恶意软件之所以持续发展,是因为其源代码已经被网络罪犯获取,并不断改进以逃避检测。从BAE Systems的发现来看,他们似乎已经成功了。

恶意软件描述

85%的感染系统位于美国,尤其学术、政府和医疗等行业网络受到严重打击。例如,今年年初,皇家墨尔本医院(Royal Melbourne Hospital)的病理部门受到严重影响。

Qbot回归,已感染5.4万台计算机

 

典型的Qbot通过控制网络、托管Rig Exploit Kit进行传播。当用户使用受影响的计算机访问恶意网站时,一个用于提供渗透代码的混淆脚本会静默执行,并在Windows PC中安装该恶意软件。

Qbot回归,已感染5.4万台计算机

 

这是Qbot传播的通用方式,但是攻击者也通过恶意邮件锁定目标公司。

BAESystems报告指出,反病毒产品对Qbot的影响受到很多因素的限制。Qbot通过连接Command & Control中心获取更新,使用变异的外观,自身完成重新编译和加密,使用基于服务器的多态性来逃避检测。

“Qbot使用的基于服务器的多态性可以很大程度地限制AV检测,通常55个 AV 厂商,只有几个著名的厂商可以可靠地检测Qbot——或者更具体说是检测它的外部加密器。当然,几天过后,大部分AV产品都可以检测该相同的样本,但是Qbot通常一至两天会自动更新一次,也就是说,它可以潜伏很长时间不被发现。”

此外,该恶意软件还可以检测其是否运行在虚拟机沙箱中,改变其行为避免被发现。

Qbot主要是用于获取密码和其他用户证书。它会试图从Windows’Credential Store中抓取密码,泄露网络登录情况,获取Outlook、Windows Live Messenger、Remote Desktop和Gmail Messenger密码。另外,Qbot还会试图访问IE的密码管理器,窃取缓存的用户名和密码,借助这些信息和从网络流量中获取的证书,攻击者可以进入FTP服务器,使用渗透代码工具包感染其他网站,来传播该恶意软件。

Qbot中还存在一个后门功能,攻击者可以获取敏感数据和知识产权,破坏基础设施,向组织中植入更复杂的恶意软件。

Qbot正在逐渐演变成更加致命的威胁,但是它有时仍然不能幸免于攻击者自己犯的错误。当它感染一小部分过期的个人电脑时,会导致这些电脑崩溃——也就会通知目标阻止其网络中存在问题,这可能会导致该恶意软件过早暴露。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2023-08-18 10:14:27

2020-07-22 01:27:08

勒索软件网络攻击网络安全

2014-10-08 09:54:04

恶意软件iWormMac

2011-03-08 08:54:10

2022-07-25 20:50:30

Windows7QBot恶意软件

2022-03-13 09:02:26

僵尸网络Emotet

2010-02-22 15:07:23

2019-11-07 08:00:00

勒索软件恶意软件网络攻击

2024-05-15 15:16:56

2011-07-07 10:58:28

2010-08-30 11:12:42

2012-02-29 10:02:59

IBM量子计算机超级计算机

2014-11-25 15:36:47

双主机计算机ITM

2020-03-11 11:18:39

僵尸网络恶意软件加密劫持

2019-09-08 14:48:42

2011-07-25 17:16:05

2015-11-26 09:40:17

2009-09-29 09:21:39

计算机60年

2009-02-04 08:37:47

IBM计算机红杉

2009-03-17 11:04:08

点赞
收藏

51CTO技术栈公众号