Summary

The Hornetsecurity Security Lab has discovered usage of XLM macros within xlsb documents to distributed the QakBot malware. Koska sekä XLM-makrot että xlsb-asiakirjamuoto ovat harvinaisia, näillä uusilla haitallisilla asiakirjoilla on hyvin alhainen staattinen Tunnistusnopeus nykyisillä virustorjuntaratkaisuilla.

Tausta

QakBot (tunnetaan myös nimillä QBot, QuakBot, Pinkslipbot) on ollut olemassa vuodesta 2008. Se jaetaan Emotetin kautta, ts., Emotet lataa QakBot loader uhreille, jotka ovat jo tartunnan Emotet. Mutta sitä jaetaan myös suoraan sähköpostitse. Tätä varten se käyttää sähköpostikeskustelulangan kaappausta kampanjoinnissaan1, eli se vastaa sähköposteihin, jotka se löytää uhrinsa postilaatikoista. Qakbotin tiedetään kiihdyttävän tunkeutumista lataamalla ProLock ransomware2.

seuraavassa aikajanassa näkyy qakbotiin liittyviä viimeaikaisia tapahtumia:

Qakbotin tapahtuman aikajana

Qakbotin tartuntaketju on seuraava:

Qakbotin tartuntaketju

QakBot on joskus käyttänyt XLM-makroja (tunnetaan myös nimellä Excel 4-makrot) hiljaisuuteen.

tekninen analyysi

kaudella 2020-10-15 noin kello 12:40 UTC havaittiin malspam-kampanja, joka jakoi Qakbotia käyttäen XLSB-asiakirjoja.

XLSB on Excel-binäärinen Työkirjatiedosto. Sen pääasiallinen käyttötarkoitus on tehdä tiedoston lukemisesta ja kirjoittamisesta paljon nopeampaa ja pienentää hyvin suurten laskentataulukoiden kokoa. Nykyisen laskentatehon ja tallennustilan saatavuuden myötä tämän binaarimuodon tarve kuitenkin väheni ja nykyään niitä käytetään harvoin.

tämän yhdistäminen muinaisiin ja siten myös huonosti havaittuihin XLM-makroihin aiheuttaa sen, että nykyiset dokumentit eivät ole minkään VirusTotal-sivustolla listatun AV: n tunnistettavissa:

Qakbot XLSB-asiakirjaa ei havaittu Virustotalissa

myös yleiset dokumentin haittaohjelmien analysointityökalut, kuten OLEVBA, eivät tunnista XLM-makroja XLSB-muodossa:

QakBot XLSB-asiakirjaa ei ole havainnut OLEVBA

vaikka tuki XLM-makroille XLSB-tiedostoissa on OLEVBAN roadmap3: ssa.

jopa xlsb format4: ää tukevalla työkalulla XLMMacroDeobfuscator (erikoistunut haitallisten XLM-makrojen analysointiin) on ongelmia Qakbotin XLSB-tiedoston kanssa:

QakBot XLSB-dokumenttia ei havainnut XLMMacroDeobfuscator

, mutta tuttuun tapaan vika Xlmmacrodeobfuscatorissa saatiin nopeasti toimimaan 5.

qakbot XLSB-tiedostot toimitetaan klassisen qakbot-sähköpostikeskustelukierteen kaappaus1 kautta liitteenä olevaan ZIP-tiedostoon:

QakBot-sähköposti, joka tuottaa XLSB-tiedoston

ZIP-tiedosto sisältää XLSB-dokumentin, joka avattuna teeskentelee olevansa DocuSignin salaama ja käyttäjän tulee” ottaa editointi käyttöön ”ja” ottaa sisältö käyttöön ” salauksen purkamiseksi:

qakbot XLSB-dokumentti

kun käyttäjä tekee niin käynnistetään Auto_Open XLM-makro dokumentissa, joka lataa QakBot-lataajan:

QakBot XLM-makro

URL on koottu XLM-makron kautta ja on lataavinaan PNG-tiedoston:

QakBot loader download naamioitu PNG download

todellisuudessa PNG-tiedosto on qakbot loader executable. Hornetsecurity on aiemmin raportoinut QakBot-lataajasta ja seurannut haittaohjelmia kuten ProLock ransomware2.

päätelmä ja vastatoimi

kuten muinaisten ja nykyään harvinaisempien XLM-makrojen uudelleensyntyminen pahantahtoisten toimijoiden käytössä, harvinaisten XLSB-dokumenttien käyttö johtaa jälleen alhaisempiin tunnistusasteisiin tietoturvaratkaisuilla, jotka keskittyvät enimmäkseen yleisempiin nykyaikaisiin VBA-makro-haittaohjelmiin.

Hornetsecurityn nopea reagointiaika uusiin nouseviin uhkiin ja nollapäivän haittaohjelmasuojaus tarjoavat sen asiakkaille vankan suojan ennennäkemättömiä malspam-kampanjoita ja uusia hyökkäystyyppejä vastaan. Hornetsecurityn Spam-ja Haittaohjelmasuojauksen käyttäjät on suojattu QakBot XLSB-asiakirjaa vastaan.

  • 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
  • 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
  • 3 https://twitter.com/decalage2/status/1265031224130777091
  • 4 https://twitter.com/DissectMalware/status/1253496637735010304
  • 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

MD5 Filename
ebd0e8581800059d451ed9969502ba53 Comission_1587332740_10142020.xlsb
80fd1750532ebb8d148cd9916e621dba Comission_1587332740_10142020.zip

URLs

  • hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

  • thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot:

Tactic Technique
TA0001 – Initial Access T1566.001 – Spearphishing Attachment
TA0001 – Initial Access T1566.002 – Spearphishing Link
TA0002 – Execution T1027 – Obfuscated Files or Information
TA0002 – Execution T1059.005 – Visual Basic
TA0002 – Execution T1204.002-haitallinen tiedosto
TA0003-pysyvyys T1053. 005-ajoitettu tehtävä
TA0003-pysyvyys T1547. 001-rekisterin Ajonäppäimet / Käynnistyskansio
TA0004-Privilege Escalation T1053. 005-Scheduled Task
TA0005-puolustuksen välttely T1027. 002-Ohjelmistopakkaus
TA0005-Puolustuskierto T1055-Prosessiruiske
TA0005-puolustuksen Väistö T1055.012 – prosessin Hollowing
TA0005-puolustuksen välttely T1497. 001 – Järjestelmätarkastukset
TA0006-Credential Access T1003-OS Credential Dumping
TA0006-Tunnusluku T1110. 001 – salasanan arvaaminen
TA0006-Credential Access T1555.003-käyttäjätiedot verkkoselaimista
TA0007-Discovery T1016-System Network Configuration Discovery
TA0011-Johtaminen ja valvonta T1071. 001-verkkoprotokollat
TA0011-Johtaminen ja valvonta T1090-Valtakirja
TA0011-Johtaminen ja valvonta T1090. 002 – ulkoinen Valtakirja