Summary

Das Hornetsecurity Security Lab hat die Verwendung von XLM-Makros in XLSB-Dokumenten zur Erkennung der QakBot-Malware festgestellt. Da sowohl XLM-Makros als auch das XLSB-Dokumentformat ungewöhnlich sind, haben diese neuen schädlichen Dokumente eine sehr niedrige statische Erkennungsrate durch aktuelle Antivirenlösungen.

Hintergrund

QakBot (auch bekannt als QBot, QuakBot, Pinkslipbot) gibt es seit 2008. Es wird über Emotet vertrieben, d.h., Emotet lädt den QakBot-Lader auf Opfer herunter, die bereits mit Emotet infiziert sind. Es wird aber auch direkt per E-Mail verteilt. Zu diesem Zweck verwendet es E-Mail-Konversations-Thread-Hijacking in seinen Kampagnen1, dh es antwortet auf E-Mails, die es in den Postfächern seines Opfers findet. Es ist bekannt, dass QakBot Eindringlinge eskaliert, indem es die ProLock-Lösegeldware2 herunterlädt.

Die folgende Zeitleiste zeigt die jüngsten Ereignisse in Bezug auf QakBot:

 QakBot-Ereigniszeitleiste

Die Infektionskette von QakBot ist wie folgt:

Qakbots Infektionskette

QakBot verwendet seit einiger Zeit XLM-Makros (auch als Excel 4-Makros bekannt).

Technische Analyse

Am 15.10.2020 gegen 12:40 UTC wurde eine Malspam-Kampagne beobachtet, die QakBot mithilfe von XLSB-Dokumenten verteilte.

XLSB ist eine binäre Excel-Arbeitsmappendatei. Seine Hauptanwendung besteht darin, das Lesen und Schreiben in die Datei viel schneller zu machen und die Größe sehr großer Tabellenkalkulationen zu reduzieren. Mit der aktuellen Rechenleistung und Speicherverfügbarkeit nahm der Bedarf an diesem Binärformat jedoch ab und sie werden heute selten verwendet.

Die Kombination mit den alten und damit auch nicht sehr gut erkannten XLM-Makros führt dazu, dass die aktuellen Dokumente von keinem auf VirusTotal aufgelisteten AV erkannt werden:

 QakBot XLSB document not detected on VirusTotal

Auch gängige Dokument-Malware-Analyse-Tools wie OLEVBA erkennen die XLM-Makros im XLSB-Format nicht:

QakBot XLSB-Dokument von OLEVBA nicht erkannt

Die Unterstützung für XLM-Makros in XLSB-Dateien befindet sich jedoch auf OLEVBAS Roadmap3.

Sogar das Tool XLMMacroDeobfuscator (spezialisiert auf die Analyse bösartiger XLM-Makros), das das XLSB-Format4 unterstützt, hat Probleme mit der XLSB-Datei von QakBot:

 QakBot XLSB Dokument nicht von XLMMacroDeobfuscator erkannt

Aber wie üblich wurde der Fehler in XLMMacroDeobfuscator schnell bearbeitet5.

Die QakBot XLSB-Dateien werden über den klassischen QakBot-E-Mail-Konversationsthread hijacking1 in einer angehängten ZIP-Datei geliefert:

 QakBot email delivering XLSB file

Die ZIP-Datei enthält das XLSB-Dokument, das beim Öffnen vorgibt, von DocuSign verschlüsselt zu sein, und der Benutzer muss „Bearbeitung aktivieren“ und „Inhalt aktivieren“, um es zu entschlüsseln:

 QakBot XLSB-Dokument

Wenn der Benutzer dies tut, wird ein Auto_Open XLM-Makro im Dokument gestartet, das den QakBot-Loader herunterlädt:

QakBot XLM-Makro

Die URL ist ein Link über das XLM-Makro und gibt vor, eine PNG-Datei herunterzuladen:

 QakBot Loader Download getarnt als PNG download

In Wirklichkeit ist die PNG-Datei die ausführbare Datei von QakBot loader. Hornetsecurity hat bereits über den QakBot Loader und Follow-up Malware wie ProLock ransomware2 berichtet.

Fazit und Gegenmaßnahme

Wie das Wiederauftauchen der alten und heute weniger verbreiteten XLM-Makros, die von böswilligen Akteuren verwendet werden, führt die Verwendung der ungewöhnlichen XLSB-Dokumente erneut zu niedrigeren Erkennungsraten durch Sicherheitslösungen, die sich hauptsächlich auf die häufigere moderne VBA-Makro-Malware konzentrieren.

Die schnelle Reaktionszeit von Hornetsecurity auf neue Bedrohungen und der Zero-Day-Malware-Schutz bieten seinen Kunden jedoch einen robusten Schutz vor nie zuvor gesehenen Malspam-Kampagnen und neuen Angriffsarten. Nutzer des Spam- und Malware-Schutzes von Hornetsecurity sind vor dem QakBot XLSB-Dokument geschützt.

  • 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
  • 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
  • 3 https://twitter.com/decalage2/status/1265031224130777091
  • 4 https://twitter.com/DissectMalware/status/1253496637735010304
  • 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

MD5 Filename
ebd0e8581800059d451ed9969502ba53 Comission_1587332740_10142020.xlsb
80fd1750532ebb8d148cd9916e621dba Comission_1587332740_10142020.zip

URLs

  • hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

  • thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot:

Tactic Technique
TA0001 – Initial Access T1566.001 – Spearphishing Attachment
TA0001 – Initial Access T1566.002 – Spearphishing Link
TA0002 – Execution T1027 – Obfuscated Files or Information
TA0002 – Execution T1059.005 – Visual Basic
TA0002 – Execution T1204.002 – Schädliche Datei
TA0003 – Persistenz T1053.005 – Geplante Aufgabe
TA0003 – Persistenz T1547.001 – Registrierungsschlüssel / Startordner ausführen
TA0004 – Privilegienerweiterung T1053.005 – Geplante Aufgabe
TA0005 -Verteidigung Evasion T1027.002 – Software Verpackung
TA0005-Verteidigung Evasion T1055- Prozess Injektion
TA0005 – Verteidigung Ausweichen T1055.012 – Prozess Aushöhlung
TA0005 – Abwehrumgehung T1497.001 – Systemüberprüfungen
TA0006 – Zugriff auf Anmeldeinformationen T1003 – OS-Zugriff auf Anmeldeinformationen
TA0006 – Zugriff auf Anmeldeinformationen T1110.001 – Passwort erraten
TA0006 – Zugriff auf Anmeldeinformationen T1555.003 – Anmeldeinformationen von Webbrowsern
TA0007 – Erkennung T1016 – Erkennung der Systemnetzwerkkonfiguration
TA0011 – Steuerung und Steuerung T1071.001 – Webprotokolle
TA0011 – Steuerung und Steuerung T1090 – Proxy
TA0011 – Steuerung und Steuerung T1090.002 – Externer Proxy