Resumo

O Hornetsecurity Laboratório de Segurança detectou o uso de macros XLM dentro XLSB documentos distribuídos a QakBot de malware. Como as macros XLM e o formato de Documento XLSB são incomuns, esses novos documentos maliciosos têm uma taxa de detecção estática muito baixa pelas soluções antivírus atuais.

Background

QakBot (também conhecido como QBot, QuakBot, Pinkslipbot) existe desde 2008. É distribuído via Emotet, ou seja,, O Emotet fará o download do carregador QakBot para as vítimas que já estão infectadas com o Emotet. Mas também é distribuído diretamente por e-mail. Para esse fim, ele usa o seqüestro de thread de conversa por e-mail em suas campaigns1, ou seja, responderá aos e-mails que encontrar nas caixas de correio de sua vítima. QakBot é conhecido por escalar intrusões baixando o ProLock ransomware2.

a linha do tempo a seguir mostra eventos recentes relacionados ao QakBot:

linha do tempo do evento QakBot

a cadeia de infecção de QakBot é a seguinte:

 a cadeia de infecção do QakBot

o QakBot tem usado macros XLM (também conhecidas como Macros Excel 4) para o quiet em algum momento.

análise técnica

em 2020-10-15 por volta das 12: 40 UTC foi observada uma campanha malspam distribuindo QakBot usando documentos XLSB.

XLSB é um arquivo de pasta de trabalho binário do Excel. Seu principal uso é tornar a leitura e a gravação no arquivo muito mais rápidas e reduzir o tamanho de planilhas muito grandes. No entanto, com o poder de computação atual e a disponibilidade de armazenamento, a necessidade desse formato binário diminuiu e hoje eles raramente são usados.

Combinar isso com os antigos e, portanto, também não muito bem detectado macros XLM faz com que o atual documentos para não ser reconhecida por qualquer AV listados no VirusTotal:

QakBot XLSB documento não foi detectada no VirusTotal

Também comum documento de malware, ferramentas de análise como o OLEVBA não reconhecem as macros XLM XLSB formato:

 Documento QAKBOT XLSB não detectado por OLEVBA

no entanto, o suporte para macros XLM em arquivos XLSB está no roadmap3 de OLEVBA.

Mesmo a ferramenta XLMMacroDeobfuscator (especializada em análise de malicioso macros XLM), que apoia a XLSB format4, tem problemas com QakBot do arquivo XLSB:

QakBot XLSB documento não detectado pelo XLMMacroDeobfuscator

Mas, como de costume, o erro no XLMMacroDeobfuscator foi rapidamente trabalhou on5.

O QakBot XLSB arquivos são entregues via clássica QakBot de e-mail conversa hijacking1 em um anexo de arquivo ZIP:

QakBot e-mail entrega de arquivo XLSB

O arquivo ZIP contém o XLSB documento, que quando aberto finge ser um criptografados por DocuSign e o usuário precisa para “Ativar Edição” e “Permitir que o Conteúdo de” decifrá-la:

QakBot XLSB documento

Quando o usuário faz um Auto_Open macro XLM no documento é lançado, o que vai baixar o QakBot carregador:

QakBot de macro XLM

URL é um montado via de macro XLM e finge download de um arquivo PNG:

QakBot loader download disfarçado como PNG download

Na realidade, o arquivo PNG é o QakBot carregador executável. Hornetsecurity relatou anteriormente sobre o carregador QakBot e acompanhamento de malware, como prolock ransomware2.

conclusão e contramedida

como o ressurgimento das macros XLM antigas e hoje menos comuns usadas por atores maliciosos, o uso dos documentos XLSB incomuns novamente leva a taxas de detecção mais baixas por soluções de segurança, que são principalmente focadas no malware de macro VBA moderno mais comum.

no entanto, o rápido tempo de Resposta da Hornetsecurity a novas ameaças emergentes e proteção contra malware de dia zero fornece aos seus clientes um escudo robusto contra campanhas malspam nunca antes vistas e novos tipos de ataque. Os usuários da proteção contra Spam e Malware da Hornetsecurity estão protegidos contra o documento QAKBOT XLSB.

  • 1 https://www.hornetsecurity.com/en/security-information/email-conversation-thread-hijacking/
  • 2 https://www.hornetsecurity.com/en/security-information/qakbot-malspam-leading-to-prolock/
  • 3 https://twitter.com/decalage2/status/1265031224130777091
  • 4 https://twitter.com/DissectMalware/status/1253496637735010304
  • 5 https://twitter.com/DissectMalware/status/1317939590720819201

Indicators of Compromise (IOCs)

Hashes

MD5 Filename
ebd0e8581800059d451ed9969502ba53 Comission_1587332740_10142020.xlsb
80fd1750532ebb8d148cd9916e621dba Comission_1587332740_10142020.zip

URLs

  • hxxp//thomastongralestatecom/skywkc/3415201.png

DNSs

  • thomastongralestatecom

MITRE ATT&CK

MITRE ATT&CK Tactics and Techniques used by QakBot:

Tactic Technique
TA0001 – Initial Access T1566.001 – Spearphishing Attachment
TA0001 – Initial Access T1566.002 – Spearphishing Link
TA0002 – Execution T1027 – Obfuscated Files or Information
TA0002 – Execution T1059.005 – Visual Basic
TA0002 – Execution T1204.002 – Arquivo Malicioso
TA0003 – Persistência T1053.005 – Tarefa Agendada
TA0003 – Persistência T1547.001 – Chaves de Execução do Registro / Pasta de Inicialização
TA0004 – Escalonamento de Privilégios T1053.005 – Tarefa Agendada
TA0005 – Defesa Evasão T1027.002 – Software de Embalagem
TA0005 – Defesa Evasão T1055 – Processo de Injeção
TA0005 – Defesa Evasão T1055.012 – Processo de Esvaziamento
TA0005 – Defesa Evasão T1497.001 – Sistema Verifica
TA0006 – Credencial de Acesso T1003 – OS Credencial de Dumping
TA0006 – Credencial de Acesso T1110.001 – a Adivinhação de Senha
TA0006 – Credencial de Acesso T1555.003 – Credenciais a partir de Navegadores da Web
TA0007 – Descoberta T1016 – Sistema de Configuração de Rede Descoberta
TA0011 – Comando e Controle T1071.001 – Protocolos Web
TA0011 – Comando e Controle T1090 – Proxy
TA0011 – Comando e Controle T1090.002 – Proxy Externo