现在,新的Qbot恶意软件版本会在受感染的Windows设备关闭之前立即激活其持久性机制,并在系统重新启动或从睡眠中唤醒时自动删除所有痕迹。
Qbot(也称为Qakbot,Quakbot和Pinkslipbot)是一种Windows银行木马,其蠕虫功能至少从2009年开始就处于活动状态,并用于窃取银行凭证,个人信息和财务数据。
该恶意软件还被用于记录用户击键,在受感染计算机上丢弃后门,以及部署勒索软件运营商使用的Cobalt Strike信标来提供ProLock和Egregor勒索软件有效载荷。
在最近的活动中,Qbot受害者已被带有Excel文档附件的网络钓鱼电子邮件伪装成DocuSign文档。
切换到更隐秘的持久性机制
从11月24日开始,当二进制防御威胁研究员James Quinn说发现了新的Qbot版本时,该恶意软件正在使用更新的和更隐秘的持久性机制,该机制利用系统关闭和恢复消息的功能来切换受感染设备的持久性。
这种策略是如此成功,以至于一些研究人员先前认为Qbot木马已完全删除了这种持久性机制。
“虽然其他研究人员的初步报告指出,在新版本的Qakbot中已删除了运行键持久性机制,但已将其添加到一个更加隐秘和有趣的持久性机制中,该机制侦听系统关闭消息以及PowerBroadcast挂起/恢复讯息,”奎因解释说。
该木马会在受感染的系统上添加一个注册表“运行”密钥,使该木马能够在系统登录时自动启动,并在用户加电或将计算机从睡眠中唤醒后尝试立即将其删除,以逃避反恶意软件解决方案或安全性的检测。研究人员。
使这项技术变得隐秘的是Qbot开发人员将密钥注入Windows注册表的完美时机。
该恶意软件只会在系统进入睡眠或关闭之前添加运行密钥,但它会如此接近以至于发生“安全产品没有机会检测和报告新运行密钥”的情况。
一旦在系统唤醒或登录时再次启动持久性密钥,Qbot将尝试多次删除持久性密钥。
但是,由于密钥的值名称是在每个受感染的系统上随机生成的,因此Qbot会尝试“删除其值数据与之匹配的所有运行密钥”。
尽管这种获得持久性的方法是Qbot的新功能,但其他恶意软件过去也使用类似的技术来逃避检测, 包括Gozi和Dridex银行木马。
“看起来这两个恶意软件家族具有相似的机制,因为它们都在侦听WM_QUERYENDSESSION和WM_ENDSESSION消息以检测用户何时注销,但是新版本的Qakbot通过寻找电源事件(例如WM_POWERBROADCAST)而走得更远并在系统暂停时也安装PBT_APMSUSPEND。” Binary Defense威胁小组高级总监Randy Pargman告诉BleepingComputer。
安装和配置更改
Qbot的安装技术也已在此新版本中进行了更新,因为它使用了新的DLL架构,该架构将恶意软件加载程序和bot合并在单个DLL中。
以前,加载程序通过将所有恶意代码存储在单独的DllRegisterServer组件中,并且在使用某些命令行参数时仅通过regsvr32.exe或rundll32.exe进行调用,从而避免了自动恶意软件沙盒系统的检测。
新版本通过从进程中删除命令行参数并切换将bot代码注入到新创建的进程中来简化此技术。
“通过通过创建新流程来删除命令行开关和分析检查(同时仍保留许多反分析/反沙箱检查),只有在将Bot注入到explorer.exe之后,才发生新的加载器的安装机制。”添加。
Qbot还从.dat配置和以前存储在受害计算机中的受害计算机的日志文件切换到了新的注册表加密配置。
*编译:Domino
*来自:bleepingcompute