QakBot distribuován XLSB files

shrnutí

Hornetsecurity Security Lab zjistila použití XLM Maker v XLSB dokumentech k distribuci škodlivého softwaru QakBot. Protože jak makra XLM, tak formát dokumentu XLSB jsou neobvyklé, tyto nové škodlivé dokumenty mají velmi nízkou rychlost statické detekce současnými antivirovými řešeními.

pozadí

QakBot (také známý jako QBot, QuakBot, Pinkslipbot) existuje od roku 2008. Je distribuován prostřednictvím Emotet, tj., Emotet stáhne zavaděč QakBot na oběti, které jsou již infikovány Emotetem. Ale je také distribuován přímo prostřednictvím e-mailu. Za tímto účelem používá ve svých kampaních únos e-mailových konverzací1, tj. bude odpovídat na e-maily, které najde v poštovních schránkách své oběti. Je známo, že QakBot eskaluje vniknutí stažením prolock ransomware2.

následující časová osa ukazuje nedávné události týkající se QakBot:

řetězec infekce QakBot je následující:

QakBot používá XLM makra (také známá jako makra Excel 4) pro klid.

Technická analýza

v letech 2020-10-15 kolem 12: 40 UTC byla pozorována kampaň malspam distribuující QakBot pomocí Dokumentů XLSB.

XLSB je soubor binárního sešitu aplikace Excel. Jeho hlavním využitím je mnohem rychlejší čtení a zápis do souboru a zmenšení velikosti velmi velkých tabulek. Se současným výpočetním výkonem a dostupností úložiště se však potřeba tohoto binárního formátu zmenšila a dnes se používají jen zřídka.

kombinace tohoto s starověkými a tedy také ne velmi dobře detekovanými makry XLM způsobí, že aktuální dokumenty nebudou rozpoznány žádným AV uvedeným na VirusTotal:

také běžné nástroje pro analýzu malwaru dokumentů, jako je OLEVBA, nerozpoznávají makra XLM ve formátu XLSB:

podpora XLM Maker v souborech XLSB je však na OLEVBA roadmap3.

dokonce i nástroj XLMMacroDeobfuscator (specializovaný na analýzu škodlivých XLM Maker), který podporuje XLSB format4, má problémy se souborem XLSB QakBot:

ale jako obvykle byla chyba v XLMMacroDeobfuscator rychle zpracován5.

soubory QakBot XLSB jsou dodávány prostřednictvím klasické QakBot e-mailové konverzace závitu hijacking1 v přiloženém souboru ZIP:

soubor ZIP obsahuje dokument XLSB, který při otevření předstírá, že je šifrován DocuSign a uživatel potřebuje“ Povolit Úpravy „a“ povolit obsah“, aby jej dešifroval:

když uživatel tak učiní Auto_Open XLM makro v dokumentu je spuštěn, který bude stahovat qakbot loader:

adresa URL je sestavena pomocí makra XLM a předstírá, že stáhne soubor PNG:

ve skutečnosti je soubor PNG spustitelný soubor qakbot loader. Hornetsecurity již dříve informoval o zavaděči QakBot a následném malwaru, jako je ProLock ransomware2.

závěr a protiopatření

stejně jako znovuobjevení starých a dnes méně běžných XLM Maker používaných škodlivými aktéry, použití neobvyklých XLSB dokumentů opět vede k nižší míře detekce pomocí bezpečnostních řešení, která jsou většinou zaměřena na běžnější moderní malware makra VBA.

rychlá doba odezvy Hornetsecurity na nové vznikající hrozby a nulová ochrana před malwarem však poskytuje svým zákazníkům robustní štít proti dosud neviděným malspamovým kampaním a novým typům útoků. Uživatelé ochrany proti spamu a malwaru Hornetsecurity jsou chráněni proti dokumentu QakBot XLSB.

• 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
• 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
• 3 https://twitter.com/decalage2/status/1265031224130777091
• 4 https://twitter.com/DissectMalware/status/1253496637735010304
• 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

URLs

• hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

• thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot: