podsumowanie

Laboratorium bezpieczeństwa Hornetsecurity wykryło użycie makr XLM w dokumentach XLSB do dystrybucji złośliwego oprogramowania QakBot. Ponieważ zarówno makra XLM, jak i format dokumentu XLSB są rzadkością, te nowe złośliwe dokumenty mają bardzo niski wskaźnik wykrywania statycznego przez obecne rozwiązania antywirusowe.

Tło

QakBot (znany również jako QBot, QuakBot, Pinkslipbot) istnieje od 2008 roku. Dystrybuowany jest przez Emotet, czyli, Emotet pobierze program qakbot loader na ofiary, które są już zainfekowane Emotetem. Ale jest również dystrybuowany bezpośrednio przez e-mail. W tym celu wykorzystuje przechwytywanie wątku rozmowy e-mail w swoich kampaniach1, tzn. odpowie na e-maile, które znajduje w skrzynkach pocztowych ofiary. QakBot jest znany z eskalacji włamań poprzez pobranie ProLock ransomware2.

poniższa oś czasu pokazuje ostatnie wydarzenia związane z Qakbotem:

qakbot event timeline

łańcuch infekcji Qakbota wygląda następująco:

łańcuch infekcji Qakbota

QakBot używa makr XLM (znanych również jako makra Excel 4) do cichego działania.

Analiza Techniczna

w dniu 2020-10-15 około 12:40 UTC zaobserwowano kampanię malspam dystrybuującą Qakbota przy użyciu dokumentów XLSB.

XLSB to binarny plik skoroszytu programu Excel. Jego głównym zastosowaniem jest uczynienie odczytu i zapisu do pliku znacznie szybszym i zmniejszenie rozmiaru bardzo dużych arkuszy kalkulacyjnych. Jednak przy obecnej mocy obliczeniowej i dostępności pamięci masowej zapotrzebowanie na ten format binarny zmniejszyło się i obecnie są one rzadko używane.

połączenie tego ze starożytnymi, a więc również niezbyt dobrze wykrywanymi makrami XLM powoduje, że bieżące dokumenty nie są rozpoznawane przez żaden AV wymieniony na VirusTotal:

nie wykryto dokumentu XLSB QakBot Na VirusTotal

również popularne narzędzia do analizy złośliwego oprogramowania dokumentów, takie jak OLEVBA, nie rozpoznają makr XLM w formacie XLSB:

dokument QakBot XLSB nie został wykryty przez OLEVBA

jednak obsługa makr XLM w plikach XLSB jest dostępna na roadmapie OLEVBA 3.

nawet narzędzie XLMMacroDeobfuscator (specjalizujące się w analizie złośliwych makr XLM), które obsługuje format XLSB4, ma problemy z plikiem XLSB Qakbota:

dokument QakBot XLSB nie został wykryty przez xlmmacrodeobfuscator

, ale jak zwykle błąd w xlmmacrodeobfuscator został szybko opracowany NA5.

pliki QakBot XLSB są dostarczane za pośrednictwem klasycznego wątku rozmowy e-mail qakbot1 w załączonym pliku ZIP:

e-mail qakbota dostarczający plik XLSB

plik ZIP zawiera dokument XLSB, który po otwarciu udaje zaszyfrowany przez DocuSign, a użytkownik musi „włączyć edycję” i „włączyć treść”, aby go odszyfrować:

dokument QakBot XLSB

gdy użytkownik to zrobi, zostanie uruchomione makro XLM Auto_Open w dokumencie, które pobierze program ładujący QakBot:

qakbot XLM macro

URL jest zmontowany przez makro XLM i udaje, że pobiera plik PNG:

QakBot loader download

w rzeczywistości plik PNG jest plikiem wykonywalnym QakBot loader. Hornetsecurity donosił wcześniej o qakbot loader i śledził złośliwe oprogramowanie, takie jak ProLock ransomware2.

wnioski i środki zaradcze

podobnie jak ponowne pojawienie się starożytnych i obecnie mniej popularnych makr XLM używanych przez złośliwe podmioty, użycie niezbyt często używanych dokumentów XLSB ponownie prowadzi do niższych wskaźników wykrywania przez rozwiązania bezpieczeństwa, które koncentrują się głównie na bardziej powszechnym współczesnym złośliwym oprogramowaniu do makr VBA.

jednak szybki czas reakcji Hornetsecurity na nowe pojawiające się zagrożenia i zerowa ochrona przed złośliwym oprogramowaniem zapewnia swoim klientom solidną ochronę przed nigdy wcześniej nie widzianymi kampaniami malspam i nowymi typami ataków. Użytkownicy ochrony przed spamem i złośliwym oprogramowaniem Hornetsecurity są chronieni przed dokumentem QakBot XLSB.

  • 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
  • 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
  • 3 https://twitter.com/decalage2/status/1265031224130777091
  • 4 https://twitter.com/DissectMalware/status/1253496637735010304
  • 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

MD5 Filename
ebd0e8581800059d451ed9969502ba53 Comission_1587332740_10142020.xlsb
80fd1750532ebb8d148cd9916e621dba Comission_1587332740_10142020.zip

URLs

  • hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

  • thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot:

Tactic Technique
TA0001 – Initial Access T1566.001 – Spearphishing Attachment
TA0001 – Initial Access T1566.002 – Spearphishing Link
TA0002 – Execution T1027 – Obfuscated Files or Information
TA0002 – Execution T1059.005 – Visual Basic
TA0002 – Execution T1204.002-złośliwy plik
TA0003-trwałość T1053.005 – zaplanowane zadanie
TA0003-trwałość T1547. 001-Klucze uruchamiania rejestru / folder startowy
TA0004 – eskalacja uprawnień T1053.005-zaplanowane zadanie
TA0005-Defense Evasion T1027. 002-Pakowanie oprogramowania
TA0005-Defense Evasion T1055-Wtrysk procesowy
TA0005-Defense Evasion T1055.012-wydrążenie procesu
TA0005-Defense Evasion T1497. 001-Kontrola systemu
TA0006-dostęp do poświadczeń T1003-Dumping poświadczeń OS
TA0006-dostęp do poświadczeń T1110. 001-zgadywanie hasła
TA0006-dostęp do poświadczeń T1555.003-poświadczenia z przeglądarek internetowych
TA0007-Discovery T1016-wykrywanie konfiguracji sieci systemowej
TA0011-sterowanie i sterowanie T1071. 001-protokoły internetowe
TA0011-sterowanie i sterowanie T1090-Proxy
TA0011-sterowanie i sterowanie T1090.002 – zewnętrzny serwer Proxy