samenvatting

het Hornetsecurity Security Lab heeft het gebruik van XLM-macro ‘ s in XLSB-documenten ontdekt om de QakBot-malware te verspreiden. Omdat zowel XLM macro ‘ s als de XLSB-documentformaat ongewoon zijn, hebben deze nieuwe kwaadaardige documenten een zeer lage statische detectiesnelheid door de huidige antivirusoplossingen.

Achtergrond

QakBot (ook bekend als QBot, QuakBot, Pinkslipbot) bestaat sinds 2008. Het wordt gedistribueerd via Emotet, d.w.z., Emotet zal de qakbot loader te downloaden op slachtoffers die al besmet zijn met Emotet. Maar het wordt ook rechtstreeks verspreid via e-mail. Daartoe, het maakt gebruik van e-mail conversation thread hijacking in zijn campagnes1, dat wil zeggen, het zal antwoorden op e-mails die het vindt in de mailboxen van het slachtoffer. QakBot is bekend om inbraken escaleren door het downloaden van de ProLock ransomware2.

de volgende tijdlijn toont recente gebeurtenissen met betrekking tot QakBot:

qakbot event timeline

de infectieketen van QakBot is als volgt:

qakbot 's infectieketen

QakBot gebruikt XLM-macro’ s (ook bekend als Excel 4-macro ‘ s) voor quiet sometime.

technische analyse

op 2020-10-15 rond 12: 40 UTC werd een malspam-campagne waargenomen die QakBot verspreidde met behulp van XLSB-documenten.

XLSB is een Excel binair werkmapbestand. Het belangrijkste gebruik is om het lezen van en geschreven naar het bestand veel sneller en het verminderen van de grootte van zeer grote spreadsheets. Echter, met de huidige rekenkracht en opslag beschikbaarheid de behoefte aan dit binaire formaat verminderd en vandaag worden ze zelden gebruikt.

door dit te combineren met de oude en dus ook niet erg goed gedetecteerde XLM macro ’s worden de huidige documenten niet herkend door een AV vermeld op VirusTotal:

QakBot XLSB-document niet gedetecteerd op VirusTotal

ook veelgebruikte document malware-analysetools zoals OLEVBA herkennen de XLM-macro’ s in het XLSB-formaat niet:

QakBot XLSB-document niet gedetecteerd door OLEVBA

hoewel ondersteuning voor XLM-macro ’s in XLSB-bestanden op olevba’ s roadmap3 staat.

zelfs de tool XLMMacroDeobfuscator (gespecialiseerd in het analyseren van kwaadaardige XLM macro ‘s), die de XLSB format4 ondersteunt, heeft problemen met QakBot’ s XLSB-bestand:

QakBot XLSB document niet gedetecteerd door XLMMacroDeobfuscator

maar zoals gewoonlijk werd er snel gewerkt aan de bug in Xlmmacrodeobfuscator5.

De QakBot XLSB bestanden worden geleverd via de klassieke QakBot e-mail conversatie hijacking1 in een bijgevoegde ZIP bestand:

QakBot e-mail leveren XLSB bestand

Het ZIP-bestand bevat de XLSB document, dat wanneer deze wordt geopend, doet alsof het een gecodeerd met DocuSign en de behoeften van de gebruiker te “Bewerken Inschakelen” en “Inhoud” te decoderen:

QakBot XLSB document

Wanneer de gebruiker doet een Auto_Open XLM-macro ‘ s in het document wordt gestart, zal het downloaden van de QakBot loader:

QakBot XLM macro

de URL is een samengesteld via de XLM macro en pretendeert een PNG-bestand te downloaden:

QakBot loader download vermomd als PNG download

in werkelijkheid is het PNG-bestand het uitvoerbare programma van QakBot loader. Hornetsecurity heeft eerder gemeld op de qakbot loader en follow-up malware zoals ProLock ransomware2.

conclusie en tegenmaatregel

net als de heropleving van de oude en tegenwoordig minder gangbare XLM-macro ‘ s die door kwaadwillende actoren worden gebruikt, leidt het gebruik van de ongewone XLSB-documenten opnieuw tot lagere detectiepercentages door beveiligingsoplossingen, die voornamelijk gericht zijn op de meer gangbare moderne VBA-macro malware.De snelle reactietijd van Hornetsecurity op nieuwe bedreigingen en zero-day malwarebescherming biedt haar klanten echter een robuust schild tegen nooit eerder geziene malspam-campagnes en nieuwe aanvalstypes. Gebruikers van Hornetsecurity ‘ s Spam en Malware bescherming zijn beschermd tegen het QakBot XLSB document.

  • 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
  • 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
  • 3 https://twitter.com/decalage2/status/1265031224130777091
  • 4 https://twitter.com/DissectMalware/status/1253496637735010304
  • 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

MD5 Filename
ebd0e8581800059d451ed9969502ba53 Comission_1587332740_10142020.xlsb
80fd1750532ebb8d148cd9916e621dba Comission_1587332740_10142020.zip

URLs

  • hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

  • thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot:

Tactic Technique
TA0001 – Initial Access T1566.001 – Spearphishing Attachment
TA0001 – Initial Access T1566.002 – Spearphishing Link
TA0002 – Execution T1027 – Obfuscated Files or Information
TA0002 – Execution T1059.005 – Visual Basic
TA0002 – Execution T1204.002 – Kwaadaardig Bestand
TA0003 – Persistentie T1053.005 – Geplande Taak
TA0003 – Persistentie T1547.001 – Register Run-Sleutels / Map Opstarten
TA0004 – Privilege Escalation T1053.005 – Geplande Taak
TA0005 – Verdediging Ontduiking T1027.002 – Software Verpakking
TA0005 – Verdediging Ontduiking T1055 – Proces Injectie
TA0005 – Verdediging Ontduiking T1055.012 – Proces Holde
TA0005 – Verdediging Ontduiking T1497.001 – Systeem Controleert
TA0006 – Identificatie Toegang T1003 – OS Identificatie Dumping
TA0006 – Identificatie Toegang T1110.001 – het Raden van wachtwoorden
TA0006 – Identificatie Toegang T1555.003 – Referenties van Webbrowsers
TA0007 – Discovery T1016 – Systeem-Netwerk Configuratie Ontdekking
TA0011 – Commando en Controle T1071.001 – Web-Protocollen
TA0011 – Commando en Controle T1090 – Proxy
TA0011 – Commando en Controle T1090.002 – Externe Proxy