shrnutí

Hornetsecurity Security Lab zjistila použití XLM Maker v XLSB dokumentech k distribuci škodlivého softwaru QakBot. Protože jak makra XLM, tak formát dokumentu XLSB jsou neobvyklé, tyto nové škodlivé dokumenty mají velmi nízkou rychlost statické detekce současnými antivirovými řešeními.

pozadí

QakBot (také známý jako QBot, QuakBot, Pinkslipbot) existuje od roku 2008. Je distribuován prostřednictvím Emotet, tj., Emotet stáhne zavaděč QakBot na oběti, které jsou již infikovány Emotetem. Ale je také distribuován přímo prostřednictvím e-mailu. Za tímto účelem používá ve svých kampaních únos e-mailových konverzací1, tj. bude odpovídat na e-maily, které najde v poštovních schránkách své oběti. Je známo, že QakBot eskaluje vniknutí stažením prolock ransomware2.

následující časová osa ukazuje nedávné události týkající se QakBot:

časová osa události QakBot

řetězec infekce QakBot je následující:

qakbotův řetězec infekce

QakBot používá XLM makra (také známá jako makra Excel 4) pro klid.

Technická analýza

v letech 2020-10-15 kolem 12: 40 UTC byla pozorována kampaň malspam distribuující QakBot pomocí Dokumentů XLSB.

XLSB je soubor binárního sešitu aplikace Excel. Jeho hlavním využitím je mnohem rychlejší čtení a zápis do souboru a zmenšení velikosti velmi velkých tabulek. Se současným výpočetním výkonem a dostupností úložiště se však potřeba tohoto binárního formátu zmenšila a dnes se používají jen zřídka.

kombinace tohoto s starověkými a tedy také ne velmi dobře detekovanými makry XLM způsobí, že aktuální dokumenty nebudou rozpoznány žádným AV uvedeným na VirusTotal:

dokument QakBot XLSB nebyl detekován na VirusTotal

také běžné nástroje pro analýzu malwaru dokumentů, jako je OLEVBA, nerozpoznávají makra XLM ve formátu XLSB:

dokument QakBot XLSB nebyl zjištěn OLEVBA

podpora XLM Maker v souborech XLSB je však na OLEVBA roadmap3.

dokonce i nástroj XLMMacroDeobfuscator (specializovaný na analýzu škodlivých XLM Maker), který podporuje XLSB format4, má problémy se souborem XLSB QakBot:

dokument QakBot XLSB nebyl detekován XLMMacroDeobfuscator

ale jako obvykle byla chyba v XLMMacroDeobfuscator rychle zpracován5.

soubory QakBot XLSB jsou dodávány prostřednictvím klasické QakBot e-mailové konverzace závitu hijacking1 v přiloženém souboru ZIP:

E-Mail qakbot doručující soubor XLSB

soubor ZIP obsahuje dokument XLSB, který při otevření předstírá, že je šifrován DocuSign a uživatel potřebuje“ Povolit Úpravy „a“ povolit obsah“, aby jej dešifroval:

QakBot XLSB dokument

když uživatel tak učiní Auto_Open XLM makro v dokumentu je spuštěn, který bude stahovat qakbot loader:

 qakbot XLM makro

adresa URL je sestavena pomocí makra XLM a předstírá, že stáhne soubor PNG:

QakBot loader download maskovaný jako PNG download

ve skutečnosti je soubor PNG spustitelný soubor qakbot loader. Hornetsecurity již dříve informoval o zavaděči QakBot a následném malwaru, jako je ProLock ransomware2.

závěr a protiopatření

stejně jako znovuobjevení starých a dnes méně běžných XLM Maker používaných škodlivými aktéry, použití neobvyklých XLSB dokumentů opět vede k nižší míře detekce pomocí bezpečnostních řešení, která jsou většinou zaměřena na běžnější moderní malware makra VBA.

rychlá doba odezvy Hornetsecurity na nové vznikající hrozby a nulová ochrana před malwarem však poskytuje svým zákazníkům robustní štít proti dosud neviděným malspamovým kampaním a novým typům útoků. Uživatelé ochrany proti spamu a malwaru Hornetsecurity jsou chráněni proti dokumentu QakBot XLSB.

  • 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
  • 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
  • 3 https://twitter.com/decalage2/status/1265031224130777091
  • 4 https://twitter.com/DissectMalware/status/1253496637735010304
  • 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

MD5 Filename
ebd0e8581800059d451ed9969502ba53 Comission_1587332740_10142020.xlsb
80fd1750532ebb8d148cd9916e621dba Comission_1587332740_10142020.zip

URLs

  • hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

  • thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot:

Tactic Technique
TA0001 – Initial Access T1566.001 – Spearphishing Attachment
TA0001 – Initial Access T1566.002 – Spearphishing Link
TA0002 – Execution T1027 – Obfuscated Files or Information
TA0002 – Execution T1059.005 – Visual Basic
TA0002 – Execution T1204.002-škodlivý soubor
TA0003-Persistence T1053. 005-naplánovaná úloha
TA0003-Persistence T1547. 001-klíče pro spuštění registru / spouštěcí složka
TA0004-eskalace oprávnění T1053. 005-naplánovaná úloha
TA0005-obranný únik T1027. 002-softwarové balení
TA0005-obranný únik T1055-procesní vstřikování
TA0005-obranný únik T1055.012-procesní prohlubování
TA0005-obranný únik T1497. 001-systémové kontroly
TA0006-přístup k pověření T1003-Dumping pověření OS
TA0006-přístup k pověření T1110. 001-hádání hesla
TA0006-přístup k pověření T1555.003-pověření z webových prohlížečů
TA0007-Discovery T1016-zjišťování konfigurace systémové sítě
TA0011-příkaz a řízení T1071. 001-webové protokoly
TA0011-příkaz a řízení T1090-Proxy
TA0011-příkaz a řízení T1090. 002-externí Proxy