记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Qakbot恶意行为检测

2020-03-04 09:38

Qakbot是一款窃取敏感信息的恶意软件,也被称为Qbot。该恶意软件家族已经活跃了多年,本文利用Wireshark分析Qakbot恶意流量数据包。了解分析这些流量模式对于检测和调查Qakbot至关重要。

请注意,本教程中使用的是恶意软件的pcap流量包,应在非Windows环境中查看此pcap。如果是Windows计算机,建议安装Linux虚拟机查看pcap。

本文将包括以下内容:Qakbot传播方法、初始zip恶意附件、Qakbot Windows可执行文件、感染后HTTPS的活动、其他感染后行为。本文使用的pcap下载链接,文件名为2020-01-29-Qbot-infection-traffic.pcap.zip,图1显示在Wireshark中打开的pcap。

Qakbot传播方式

Qakbot最常通过恶意垃圾邮件(malspam)传播,近期在2019年11月也通过漏洞传播。最近Qakbot基于恶意垃圾邮件攻击活动遵循图2流程。

初始Zip恶意附件

最近Qakbot通过恶意垃圾电子邮件传播,示例如下:

电子邮件中的URL以简短的数字序列为结尾,后跟.zip。已检测到的url见表1。

在pcap中可以利用Wireshark过滤器,HTTP.request.uri contains.zip找到zip的HTTP请求,如图4所示。

按照TCP stream查看zip,如图5和图6所示,然后从pcap导出zip存档,如图7所示。

在大多数情况下,File→Export Objects→HTTP可导出zip文件。但如图8所示,无法导出名为9312.zip的文件,因为它被分成数百个较小的数据片段。

可以从TCP流窗口导出数据,并在十六进制编辑器中编辑二进制文件,步骤如下:查找9312.zip的TCP流、TCP流窗口中仅显示响应流量、将“Show and save data as”从ASCII更改为Raw、将数据保存为二进制文件、在十六进制编辑器中打开二进制文件,并删除‘PK’之前的HTTP请求头、将文件保存为zip、检查文件是否正确。

上图显示了如何检查文件。zip文件中包含VBS文件,对提取的VBS文件分析表明,它会生成下一个与Qakbot相关的URL:Qakbot Windows可执行文件。

Qakbot Windows可执行文件

访问VBS文件生成的url会返回Qakbot Windows可执行文件。自2019年12月以来,Qakbot可执行文件URL以44444.png或444444.png结尾,详情见表2。

在pcap中,使用Wireshark过滤器:hxxp.request.uri contains.png找到Qakbot可执行文件的HTTP GET请求,如图15所示。

文件→导出对象→HTTP 从pcap导出此对象,并检查结果,如图17所示。

HTTPS活动

使用过滤器快速查看pcap中的web流量。找到Qakbot可执行文件alphaenergyeng[.]com的HTTP GET请求。如图18所示,指向68.1.115[.]106的HTTPS或SSL/TLS流量。

此流量为Qakbot异常证书颁发者数据,使用以下Wireshark检查Qakbot证书颁发者数据:Ip.addr eq 68.1.115.186和ssl.handshake.type eq 11

locality name,、organization name、common name等通常在合法HTTPS、SSL或TLS通信的证书中找不到,发行人数据示例如下:

id-at-countryName=ES

id-at-stateOrProvinceName=IA

id-at-localityName=Uorh Ofwa

id-at-organizationName=Coejdut Mavmtko Qxyemk Dxsjie LLC.

id-at-commonName=gaevietovp.mobi

其他行为

每个活动本身并不是恶意的,但是结合之前的发现可以拼凑出完整的Qakbot恶意行为。

Qakbot另一个特征是到cdn.speedof[.]me的HTTPS流量。在Qakbot感染的机器流量中经常看到与cdn.speedof[.]me通信的流量。

Qakbot还会从受感染的windows主机上打开所有浏览器。在沙盒(测试视频回放)中Qakbot在Windows 7打开Chrome、Firefox、Internet Explorer,具体访问以下地址:

hxxp://store.nvprivateoffice[.]com/redir_chrome.html

hxxp://store.nvprivateoffice[.]com/redir_ff.html

hxxp://store.nvprivateoffice[.]com/redir_ie.html

域nvprivateoffice[.]com是2012年通过GoDaddy注册的,store.nvprivateoffice[.]com在Fedora服务器上显示nginx的默认网页。

本文测试环境中是未安装Chrome或Firefox的Windows 10主机,pcap只显示Internet Explorer和Microsoft Edge的web流量,Qakbot生成的URL都是hxxp://store.nvprivateoffice[.]com/redir_ie.html。

查找此流量方式:http.request.full_uri contains store.nvprivateoffice

头信息用户代理如下:

受Qakbot感染主机流量中还有各种电子邮件协议(如SMTP、IMAP和POP3)的通信流量。如图25所示:

过滤条件:tcp.flags eq 0×0002 and !(tcp.port eq 80) and !(tcp.port eq 443)

从上图可以看出其访问了25、110、143、465、587、993、995等email协议端口,前两行中显示与65400端口的通信流量应该也是email相关流量。

利用以下过滤条件进一步分析:smtp or imap or pop

可以从中看到许多email相关未加密的通信流量。

总结

本文提供了检查Windows感染Qakbot的基本方法,更多Qakbot的恶意pcap包可以在malware-traffic-analysis.net上找到。

*参考来源:unit42,由Kriston编译,转载请注明来自FreeBuf.COM


知识来源: https://www.freebuf.com/articles/network/228047.html

阅读:51485 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“Qakbot恶意行为检测”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云