Sammendrag

Hornetsecurity Security Lab har oppdaget bruk AV XLM-makroer i xlsb-dokumenter for å distribuere qakbot-skadelig programvare. Fordi BÅDE XLM-makroer samt xlsb-dokumentformatet er uvanlig, har disse nye ondsinnede dokumentene en svært lav statisk deteksjonsrate av dagens antivirusløsninger.

Bakgrunn

QakBot (også kjent Som QBot, QuakBot, Pinkslipbot) har eksistert siden 2008. Den distribueres Via Emotet, dvs., Emotet vil laste Ned QakBot loader på ofre som allerede er infisert Med Emotet. Men det distribueres også direkte via e-post. Til dette formål bruker den e-post samtaletråd kapring i sine kampanjer1, det vil si at den vil svare på e-postmeldinger som den finner i offerets postkasser. QakBot er kjent for å eskalere inntrenging ved å laste Ned ProLock ransomware2.

følgende tidslinje viser nylige hendelser knyttet Til QakBot:

qakbot hendelsestidslinje

Qakbots infeksjonskjede er som følger:

Qakbots infeksjonskjede

QakBot har brukt XLM-makroer (også kjent som Excel 4-makroer) for stille en gang.

Teknisk Analyse

på 2020-10-15 rundt 12: 40 UTC ble det observert en malspam-kampanje som distribuerte QakBot ved HJELP AV xlsb-dokumenter.

XLSB ER En Binær Arbeidsbokfil I Excel. Hovedbruken er å gjøre lesing fra og skrevet til filen mye raskere og redusere størrelsen på svært store regneark. Men med dagens datakraft og lagringstilgjengelighet ble behovet for dette binære formatet redusert, og i dag brukes de sjelden.

Kombinere dette med de gamle OG dermed ikke veldig godt oppdagede XLM-makroene, gjør at de nåværende dokumentene ikke blir gjenkjent av NOEN av oppført på VirusTotal:

Qakbot XLSB dokument ikke oppdaget På VirusTotal

også vanlige dokument malware analyseverktøy som OLEVBA ikke gjenkjenner XLM makroer I xlsb format:

qakbot XLSB-dokument ikke oppdaget AV OLEVBA

selv om støtte FOR XLM-makroer i xlsb-filer er PÅ OLEVBAS veikart3.

selv verktøyet XLMMacroDeobfuscator (spesialisert på å analysere ondsinnede xlm-makroer), som støtter XLSB-formatet4, har problemer Med Qakbots XLSB-fil:

qakbot xlsb dokument ikke oppdaget Av XLMMacroDeobfuscator

Men som vanlig feilen I XLMMacroDeobfuscator ble raskt jobbet på5.

QakBot XLSB-filene leveres via den klassiske qakbot-e-postsamtaletråden kapring 1 i en vedlagt ZIP-fil:

qakbot e levere XLSB fil

ZIP-filen inneholder xlsb dokumentet, som når den åpnes later til å være en kryptert Av DocuSign og brukeren må «Aktivere Redigering» og «Aktiver Innhold» for å dekryptere den:

qakbot XLSB document

når brukeren gjør det en Auto_Open XLM makro i dokumentet er lansert, som vil laste Ned QakBot loader:

QakBot XLM macro

NETTADRESSEN er montert via xlm-makroen og later til å laste ned EN PNG-fil:

qakbot loader last ned forkledd SOM PNG last ned

I virkeligheten PNG-filen Er QakBot loader kjørbar. Hornetsecurity har tidligere rapportert Om QakBot loader og følge opp malware som ProLock ransomware2.

Konklusjon Og Mottiltak

Som reemergence av de gamle OG i dag mindre vanlige XLM-makroer som brukes av ondsinnede aktører, fører bruken av de uvanlige xlsb-dokumentene igjen til lavere gjenkjenningshastigheter av sikkerhetsløsninger, som for det meste er fokusert på den mer vanlige moderne vba-makroprogramvaren.

Hornetsecurity ‘ s raske responstid på nye nye trusler og zero-day malware protection gir imidlertid sine kunder et robust skjold mot aldri tidligere sett malspam-kampanjer og nye angrepstyper. Brukere Av Hornetsecurity Spam Og Malware Beskyttelse er beskyttet mot QakBot XLSB dokumentet.

  • 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
  • 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
  • 3 https://twitter.com/decalage2/status/1265031224130777091
  • 4 https://twitter.com/DissectMalware/status/1253496637735010304
  • 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

MD5 Filename
ebd0e8581800059d451ed9969502ba53 Comission_1587332740_10142020.xlsb
80fd1750532ebb8d148cd9916e621dba Comission_1587332740_10142020.zip

URLs

  • hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

  • thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot:

Tactic Technique
TA0001 – Initial Access T1566.001 – Spearphishing Attachment
TA0001 – Initial Access T1566.002 – Spearphishing Link
TA0002 – Execution T1027 – Obfuscated Files or Information
TA0002 – Execution T1059.005 – Visual Basic
TA0002 – Execution T1204.002-Ondsinnet Fil
TA0003-Utholdenhet T1053.005-Planlagt Oppgave
TA0003-Utholdenhet T1547. 001-Register Kjøre Nøkler / Oppstartsmappe
TA0004-Privilegieskalering T1053. 005-Planlagt Oppgave
TA0005-Forsvar Unndragelse T1027. 002-Programvare Pakking
TA0005 – Forsvarsunndragelse T1055 – Prosessinjeksjon
TA0005 – Forsvar Unndragelse T1055.012-Prosessen Hollowing
TA0005-Forsvar Unndragelse T1497. 001-System Sjekker
TA0006-Credential Tilgang T1003-OS Credential Dumping
TA0006-Legitimasjons Tilgang T1110. 001-Passord Gjette
TA0006-Tilgang Til Legitimasjon T1555.003-Legitimasjon Fra Nettlesere
TA0007-Oppdagelse T1016-Oppdagelse Av Systemnettverkskonfigurasjon
TA0011-Kommando Og Kontroll T1071. 001-Webprotokoller
TA0011-Kommando Og Kontroll T1090-Proxy
TA0011-Kommando Og Kontroll T1090. 002 – Ekstern Proxy