概要
HORNETSECURITY Security Labは、XLSBドキュメント内のXLMマクロの使用を検出して、qakbotマルウェアを配布しました。 XLMマクロとXLSBドキュメント形式の両方が珍しいため、これらの新しい悪意のあるドキュメントは、現在のアンチウイルスソリューションによる静的検出率が非常に低くなっています。
背景
QakBot(Qbot、QuakBot、Pinkslipbotとしても知られています)は2008年から存在しています。 これは、Emotetを介して配布されます。、EmotetはすでにEmotetに感染している犠牲者にQakBotローダーをダウンロードします。 しかし、それはまた、電子メールを介して直接配布されます。 この目的のために、それはそのcampaigns1で電子メールの会話スレッドハイジャックを使用しています、すなわち、それはその被害者のメールボックスで見つかった電子メールに返信します。 QakBotはProLock ransomware2をダウンロードすることで侵入をエスカレートすることが知られています。
以下のタイムラインは、QakBotに関連する最近の出来事を示しています:
QakBotの感染の連鎖は次のとおりです:
QAKBOTは、いつか静かなためにXLMマクロ(Excel4マクロとも呼ばれます)を使用しています。
テクニカル分析
2020年10月15日12時40分(UTC)頃、XLSB文書を使用してQakBotを配布するmalspamキャンペーンが観測されました。
XLSBは、Excelバイナリブックファイルです。 その主な用途は、ファイルからの読み取りと書き込みをはるかに高速にし、非常に大きなスプレッドシートのサイズを小さくすることです。 しかし、現在の計算能力とストレージの可用性では、このバイナリ形式の必要性は減少し、今日ではほとんど使用されていません。
これを古代のXLMマクロと組み合わせると、現在のドキュメントはVirusTotalにリストされているAVによって認識されません:
で検出されませんまた、OLEVBAなどの一般的なドキュメントのマルウェア分析ツールは、XLSB形式のXLMマクロを認識しません:OLEVBA
でQakBot XLSBドキュメントが検出されませんが、XLSBファイルのXLMマクロのサポートはOLEVBAのroadmap3にあります。
XLSB format4をサポートするツールXLMMacroDeobfuscator(悪意のあるXLMマクロの分析に特化した)でも、QakBotのXLSBファイルに問題があります:
によって検出されませんでしたが、いつものようにXLMMacroDeobfuscatorのバグはすぐに作業されました5。
qakbot XLSBファイルは、添付されたZIPファイル内の古典的なQakBot電子メール会話スレッドhijacking1を介して配信されます:
ZIPファイルにはXLSBドキュメントが含まれており、開いたときにDocuSignによって暗号化されたふりをし、ユーザーは”編集を有効にする”と”コンテンツを有効にする”必要があります。:
ユーザーがこれを行うと、ドキュメント内のAuto_OpenXLMマクロが起動され、QakBotローダーがダウンロードされます:
URLはXLMマクロを介して組み立てられたものであり、PNGファイルをダウンロードするふりをします:
実際には、PNGファイルはQakBot loader実行可能ファイルです。 Hornetsecurityは以前にQakbotローダーについて報告し、ProLock ransomware2などのマルウェアをフォローアップしています。
結論と対策
悪意のあるアクターによって使用される古代と今日ではあまり一般的ではないXLMマクロの再出現と同様に、珍しいXLSB文書の使用は、主に、より一般的な現代のVBAマクロマルウェアに焦点を当てているセキュリティソリューションによる検出率を低下させる。
しかし、Hornetsecurityの新たな脅威への迅速な応答時間とゼロデイマルウェア保護は、これまでに見たことのないmalspamキャンペーンや新しい攻撃タイプに対する堅牢 Hornetsecurityのスパムおよびマルウェア保護のユーザーは、QakBot XLSBドキュメントから保護されています。
- 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
- 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
- 3 https://twitter.com/decalage2/status/1265031224130777091
- 4 https://twitter.com/DissectMalware/status/1253496637735010304
- 5 https://twitter.com/DissectMalware/status/1317939590720819201
Indicators of Compromise (IOCs)
Hashes
| MD5 | Filename |
|---|---|
ebd0e8581800059d451ed9969502ba53 |
Comission_1587332740_10142020.xlsb |
80fd1750532ebb8d148cd9916e621dba |
Comission_1587332740_10142020.zip |
URLs
hxxp//thomastongralestatecom/skywkc/3415201.png
DNSs
thomastongralestatecom
MITRE ATT&CK
MITRE ATT&CK Tactics and Techniques used by QakBot:
| Tactic | Technique |
|---|---|
| TA0001 – Initial Access | T1566.001 – Spearphishing Attachment |
| TA0001 – Initial Access | T1566.002 – Spearphishing Link |
| TA0002 – Execution | T1027 – Obfuscated Files or Information |
| TA0002 – Execution | T1059.005 – Visual Basic |
| TA0002 – Execution | T1204.002-悪意のあるファイル |
| TA0003-永続性 | T1053.005-スケジュールされたタスク |
| TA0003-永続性 | T1547.001-レジストリの実行キー/スタートアップフォルダ |
| TA0004-特権の昇格 | T1053.005-スケジュールされたタスク |
| TA0005-防御回避 | T1027.002-ソフトウェアパッキング |
| TA0005-防御回避 | T1055-プロセス注入 |
| TA0005-防衛回避 | T1055.012-プロセスくり抜き |
| TA0005-防御回避 | T1497.001-システムチェック |
| TA0006-資格情報アクセス | T1003-OS資格情報のダンプ |
| TA0006-資格情報アクセス | T1110.001-パスワードの推測 |
| TA0006-資格情報アクセス | T1555.003-ウェブブラウザーからの認証情報 |
| TA0007-Discovery | T1016-システムネットワーク構成Discovery |
| TA0011-コマンドおよび制御 | T1071.001-Webプロトコル |
| TA0011-コマンドと制御 | T1090-プロキシ |
| TA0011-コマンドと制御 | T1090.002-外部プロキシ |
コメントを残す