samenvatting
het Hornetsecurity Security Lab heeft het gebruik van XLM-macro ‘ s in XLSB-documenten ontdekt om de QakBot-malware te verspreiden. Omdat zowel XLM macro ‘ s als de XLSB-documentformaat ongewoon zijn, hebben deze nieuwe kwaadaardige documenten een zeer lage statische detectiesnelheid door de huidige antivirusoplossingen.
Achtergrond
QakBot (ook bekend als QBot, QuakBot, Pinkslipbot) bestaat sinds 2008. Het wordt gedistribueerd via Emotet, d.w.z., Emotet zal de qakbot loader te downloaden op slachtoffers die al besmet zijn met Emotet. Maar het wordt ook rechtstreeks verspreid via e-mail. Daartoe, het maakt gebruik van e-mail conversation thread hijacking in zijn campagnes1, dat wil zeggen, het zal antwoorden op e-mails die het vindt in de mailboxen van het slachtoffer. QakBot is bekend om inbraken escaleren door het downloaden van de ProLock ransomware2.
de volgende tijdlijn toont recente gebeurtenissen met betrekking tot QakBot:
de infectieketen van QakBot is als volgt:
QakBot gebruikt XLM-macro’ s (ook bekend als Excel 4-macro ‘ s) voor quiet sometime.
technische analyse
op 2020-10-15 rond 12: 40 UTC werd een malspam-campagne waargenomen die QakBot verspreidde met behulp van XLSB-documenten.
XLSB is een Excel binair werkmapbestand. Het belangrijkste gebruik is om het lezen van en geschreven naar het bestand veel sneller en het verminderen van de grootte van zeer grote spreadsheets. Echter, met de huidige rekenkracht en opslag beschikbaarheid de behoefte aan dit binaire formaat verminderd en vandaag worden ze zelden gebruikt.
door dit te combineren met de oude en dus ook niet erg goed gedetecteerde XLM macro ’s worden de huidige documenten niet herkend door een AV vermeld op VirusTotal:
ook veelgebruikte document malware-analysetools zoals OLEVBA herkennen de XLM-macro’ s in het XLSB-formaat niet:
hoewel ondersteuning voor XLM-macro ’s in XLSB-bestanden op olevba’ s roadmap3 staat.
zelfs de tool XLMMacroDeobfuscator (gespecialiseerd in het analyseren van kwaadaardige XLM macro ‘s), die de XLSB format4 ondersteunt, heeft problemen met QakBot’ s XLSB-bestand:
maar zoals gewoonlijk werd er snel gewerkt aan de bug in Xlmmacrodeobfuscator5.
De QakBot XLSB bestanden worden geleverd via de klassieke QakBot e-mail conversatie hijacking1 in een bijgevoegde ZIP bestand:
Het ZIP-bestand bevat de XLSB document, dat wanneer deze wordt geopend, doet alsof het een gecodeerd met DocuSign en de behoeften van de gebruiker te “Bewerken Inschakelen” en “Inhoud” te decoderen:
Wanneer de gebruiker doet een Auto_Open XLM-macro ‘ s in het document wordt gestart, zal het downloaden van de QakBot loader:
de URL is een samengesteld via de XLM macro en pretendeert een PNG-bestand te downloaden:
in werkelijkheid is het PNG-bestand het uitvoerbare programma van QakBot loader. Hornetsecurity heeft eerder gemeld op de qakbot loader en follow-up malware zoals ProLock ransomware2.
conclusie en tegenmaatregel
net als de heropleving van de oude en tegenwoordig minder gangbare XLM-macro ‘ s die door kwaadwillende actoren worden gebruikt, leidt het gebruik van de ongewone XLSB-documenten opnieuw tot lagere detectiepercentages door beveiligingsoplossingen, die voornamelijk gericht zijn op de meer gangbare moderne VBA-macro malware.De snelle reactietijd van Hornetsecurity op nieuwe bedreigingen en zero-day malwarebescherming biedt haar klanten echter een robuust schild tegen nooit eerder geziene malspam-campagnes en nieuwe aanvalstypes. Gebruikers van Hornetsecurity ‘ s Spam en Malware bescherming zijn beschermd tegen het QakBot XLSB document.
- 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
- 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
- 3 https://twitter.com/decalage2/status/1265031224130777091
- 4 https://twitter.com/DissectMalware/status/1253496637735010304
- 5 https://twitter.com/DissectMalware/status/1317939590720819201
Indicators of Compromise (IOCs)
Hashes
| MD5 | Filename |
|---|---|
ebd0e8581800059d451ed9969502ba53 |
Comission_1587332740_10142020.xlsb |
80fd1750532ebb8d148cd9916e621dba |
Comission_1587332740_10142020.zip |
URLs
hxxp//thomastongralestatecom/skywkc/3415201.png
DNSs
thomastongralestatecom
MITRE ATT&CK
MITRE ATT&CK Tactics and Techniques used by QakBot:
| Tactic | Technique |
|---|---|
| TA0001 – Initial Access | T1566.001 – Spearphishing Attachment |
| TA0001 – Initial Access | T1566.002 – Spearphishing Link |
| TA0002 – Execution | T1027 – Obfuscated Files or Information |
| TA0002 – Execution | T1059.005 – Visual Basic |
| TA0002 – Execution | T1204.002 – Kwaadaardig Bestand |
| TA0003 – Persistentie | T1053.005 – Geplande Taak |
| TA0003 – Persistentie | T1547.001 – Register Run-Sleutels / Map Opstarten |
| TA0004 – Privilege Escalation | T1053.005 – Geplande Taak |
| TA0005 – Verdediging Ontduiking | T1027.002 – Software Verpakking |
| TA0005 – Verdediging Ontduiking | T1055 – Proces Injectie |
| TA0005 – Verdediging Ontduiking | T1055.012 – Proces Holde |
| TA0005 – Verdediging Ontduiking | T1497.001 – Systeem Controleert |
| TA0006 – Identificatie Toegang | T1003 – OS Identificatie Dumping |
| TA0006 – Identificatie Toegang | T1110.001 – het Raden van wachtwoorden |
| TA0006 – Identificatie Toegang | T1555.003 – Referenties van Webbrowsers |
| TA0007 – Discovery | T1016 – Systeem-Netwerk Configuratie Ontdekking |
| TA0011 – Commando en Controle | T1071.001 – Web-Protocollen |
| TA0011 – Commando en Controle | T1090 – Proxy |
| TA0011 – Commando en Controle | T1090.002 – Externe Proxy |
Geef een antwoord