鼻祖Qbot银行木马攻击金融机构 导致AD活动目录用户账户大量锁定 能对抗杀软和分析...

最新推荐文章于 2023-08-24 10:41:44 发布
最新推荐文章于 2023-08-24 10:41:44 发布
阅读量852 收藏
点赞数
文章标签: 操作系统 运维
原文链接:https://yq.aliyun.com/articles/205483
版权

ibm 安全研究人员警告称, 最近恶意软件引发的活动目录 (ad) 锁定影响了许多组织, 这似乎是 Qbot 银行恶意软件造成的。 成百上千的 ad 用户在快速连续的情况下被锁在公司的域之外, 从而阻止受影响的组织的员工访问他们的端点、公司服务器和网络资产。

Qbot在2009年首次发现,由于长时间的不活动, Qbot 继续被放在最活跃的恶意软件家族的前10名单的底部, 可以称得上是同类别中最古老的威胁之一。

Qbot 银行木马正在攻击金融机构

这些事件显然影响了许多组织, Qbot 银行木马 (也称为 Qakbot, Quakbot, 或 PinkSlip) 是罪魁祸首。金融恶意软件的目的是针对企业和从银行帐户窃取资金, 而能够通过自我复制通过共享驱动器和可移动媒体传播像蠕虫。

ibm 的Michael Oppenheim透露,该木马在2009年首次发现, 随着时间的推移,恶意软件已经进行了大量的改进,这是安全小组第一次发现 Qbot 导致 ad 账户大量锁定。目前的活动主要集中在美国的商业银行服务, 包括财政部、企业银行和商业银行。

虽然它只是一个蠕虫组件, 但是一个功能齐全的银行木马, 挤满了 "强大的信息窃取功能,包括 窥探用户的银行活动, 并最终诈骗他们的巨额资金

新版 Qbot 银行木马的功能特性

该恶意软件的特点是模块化设计, 是多线程的, 包括用于窃取网上银行凭证的组件, 实现后门, 并创建一个SOCKS 代理。Qbot恶意软件还具有广泛的 对抗分析的功能, 并且可以禁用安全程序在终端上运行,除非它具有管理员权限。

恶意软件还使用不同于其类中其他木马所使用的检测规避机制:

"在感染新的终端时, 恶意软件使用快速变异,让防病毒系统不停的猜测。它对恶意软件文件进行了细微的修改, 并在其他情况下编译了整个代码以使其看起来无法辨认, "

Qbot 使用Dropper进行分发, 通常使用延迟执行来逃避检测。在部署之后, dropper会毁掉自己的文件, 并注入到 windows autoconv.exe 命令。它使用注册表 runkey 和计划任务来自动加载自己。

在最近的攻击中, 还观察到该恶意软件执行三个特定的操作来攻击 active directory 活动目录域:

  • 它会执行快速session,从而快速连续地锁定成百上千个帐户
  • 会尝试执行自动登录,但有些账户根本不存在;
  • 它会将恶意的可执行文件部署到网络共享, 并将其注册为服务。

Oppenheim说:

如果它们可以从域控制器 (dc) 获得,恶意软件会使用受影响用户的凭据以及相同用户的登录和域凭据的组合,试图访问和感染网络中的其他机器,

Qbot 要么收集受感染机器的用户名,要么使用硬编码的用户名列表,然后使用它进行大范围感染 。木马程序在尝试将用户名与各种密码匹配时,使用三个密码的方案。它还枚举目标计算机的网络共享, 并尝试将其自身复制到过去。

由于具有 man-in-the-browser (MitB) 功能, 恶意软件可以将恶意代码注入在线银行会话中, 并从它所控制的域中获取这些脚本,这样木马程序就可以显示假登录页, 诱使用户输入其登录凭据。

man-in-the-browser类似中间人攻击方法

Blackmoon 恶意软件窃取用户凭据的方法,类似于先前的 variants–attackers,也是用man-in-the-browser方法。据称, 2016年7月,Blackmoon 恶意软件就是用这种方法窃取了15万韩国人的凭据。

Man-in-the-browser跟man-in-the-middle(中间人攻击)有点类似,浏览器(IE, firefox)被木马感染后,木马可以修改web页面,修改或者添加http(s)中的任何数据。而这个过程中用户和服务器都不知晓

Qbot木马窃取的用户信息相当多

Qbot木马还能够窃取用户信息, 如按键、缓存凭据、数字证书、http 会话身份验证数据、cookie (包括身份验证令牌和 flash cookie) 以及 ftp 和 POP3 凭据。

它还向服务器发送有关系统、ip 地址、dns 名称的信息, 主机名、用户名、域、用户权限、os 版本、网络接口 (地址、网掩码和状态)、安装的软件、来自端点的受保护存储的凭据、帐户名和 web 服务器凭据、连接类型、POP3 用户名、服务和密码以及 smtp 服务器和电子邮件地址。

为了针对商业银行部门, 该恶意软件也知道有针对性的组织在卫生医疗和教育行业的攻击, 因为它的作者已经增加了其代码的改进, 以加强持久性驻留机制, 对抗防病毒软件,对抗技术分析的能力。

"研究人员认为, 一个封闭的, 有组织的网络犯罪团伙, 在东欧负责运营 QakBot,"



原文发布时间:2017年6月5日 

本文由:securityWeek发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/qbot-banking-trojan-make-ad-accounts-lockout#

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

weixin_33743248
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
QBot:基于SmartQQ协议的QQ机器人
xuejye的博客
11-22 7832
一、介绍 qqbot 是一个用 python 实现的、基于腾讯 SmartQQ 协议的 QQ 机器人框架,可运行在 Linux 、 Windows 和 Mac OSX 平台下。 本项目 github 地址: https://github.com/pandolia/qqbot 你可以通过扩展 qqbot 来实现: 监控、收集 QQ 消息自动消息推送聊天机器人通过 QQ 远程控制你的设备
win8.1上用Qbot
hanshuning的专栏
05-19 695
http://answers.microsoft.com/en-us/windows/forum/windows8_1-networking/windows-81-ad-hoc-not-showing/5d75d887-ff59-425e-a480-9f80ada63627 win8.1把Qbot的网络隐藏了,所以要手动设置 1.打开cmd,输入netsh wlan show networks
轮式移动机器人QBot的使用
weixin_30321709的博客
08-04 831
夏季学期选了智能移动机器人导论课程,开始接触移动机器人。作为一门面向大二、大三学生的一门导论式的课程,课程作业其实并不太难,然而我们为了完成课程作业,前前后后还是弄了好几个星期,以至放了暑假都还要和Qbot在学校呆一段时间。这是为什么呢?网上关于Qbot的资料少得可怜。无论在百度、必应还是谷歌,以Qbot为关键词几乎搜不到任何有关的资料,甚至连官方网站都不再提供Qbot的支持,因为人家已...
全面解析Qakbot***
weixin_34062329的博客
10-31 335
来源:赛迪网  虽然Qakbot这个名字听起来很可笑,但当听说这个***是针对企业和公司帐户时——就没有人再笑了。Qakbot***以其主要的可执行文件_qakbot.dll命名,它并不是一种新的***;但RSA FraudAction研究实验室在Qakbot中发现了一些以前很少在其他金融犯罪软件中出现的独特属性。   对Qakbot的最新研究表明,它的触发列表几乎...
Black Basta 勒索软件利用 QakBot 进行分发
ALLEN'Blog
03-27 217
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
视频解码器的鼻祖K-Lite16.6.8_2一款把许多影音解码器和一款视频播放器打包在一起软件.7z
12-24
K-Lite Mega Codec Pack为您提供绝大多数影音格式的解码器,装了它,您的播放器就可以通吃绝大多数的影音格式。它将网络上常见的影音编码程式全部收集于一身,你只需要安装它,就可以利用Windows Media Player,...
emu.rar_8086_orangeemu.dll
09-23
"emu.rar_8086_orangeemu.dll" 提供的是一款名为OrangeEMU的8086模拟器,它允许用户在不依赖真实硬件的情况下运行8086程序,深入了解CPU的操作机制。 首先,8086是Intel公司在1978年推出的一款16位微处理器,它是...
计算机及信息技术概述PPT资料.ppt
10-31
美籍匈牙利数学家冯·诺依曼是计算机鼻祖。 计算机系统的硬件和软件系统构成: 计算机系统由五大部件组成:运算器、控制器、存储器、输入设备和输出设备。运算器是计算机的核心部分,负责执行算术和逻辑运算。控制...
技术分析鼻祖.doc
09-21
技术分析鼻祖.doc
20180918-长城证券-中信证券-600030-公司深度报告:全能型券商鼻祖机构业务独步天下.rar
09-03
【标题】:“20180918-长城证券-中信证券-600030-公司深度报告:全能型券商鼻祖机构业务独步天下.rar”揭示了对中国领先证券公司中信证券的深度分析,强调了其在全能型券商领域的开创性地位以及在机构业务中的卓越...
Man-In-The-Browser
04-12
截获FireFox中输入的用户名和密码,支付宝,淘宝,亚马逊,等一网打尽。本demo截获保护username关键字的数据包,所以其他网站登陆信息业可能被截获。
Qakbot恶意软件利用OneNote进行传播
最新发布
dzqxwzoe的博客
08-24 85
Qakbot是一种自2007年以来一直活跃的复杂恶意软件,具有自我复制和传播的蠕虫特性。其主要攻击目标为银行业和金融机构,旨在窃取受感染系统中的敏感信息和凭证。Qakbot通过多种手段获取访问权限,包括社会工程和漏洞利用。该恶意软件还具备高度定制化的C&C通信,可用于获取其他恶意软件模块和执行数据外泄等功能。Qakbot的特点在于其高度隐蔽性和逃避技术,例如反沙箱和反虚拟机检测等。它主要通过钓鱼电子邮件和恶意附件进行传播,但最近通过利用OneNote文档进行传播的情况数量有所增加。
Qakbot 开始利用 OneNote 文件进行分发
dzqxwzoe的博客
08-23 88
OneNote 文件原本很少被滥用,但最近攻击者开始青睐该类文件。最初只是一些小规模的恶意软件攻击,后来 Qakbot 也加入进来。示例OneNote 文件此前的 Qakbot 经常使用电子邮件作为最初的攻击向量,对各种恶意邮件技巧都十分熟稔。
Qakbot感染与黑巴斯塔勒索软件运动有关
kafankeji的博客
11-24 166
Cybereason观察到的QakBot感染始于一封含有恶意URL链接的垃圾邮件或钓鱼邮件,而QakBot是Black Basta用来在受害者网络中保持存在的主要方法。在Cybereason发现的几起QakBot感染中,据称有两起允许威胁行为者部署勒索软件,并通过禁用DNS服务将受害者锁定在其网络之外,使恢复变得更加复杂。根据该通知,在新的攻击中,威胁行为者在不到两小时内获得了域管理员访问权限,然后在不到12小时内转移到勒索软件部署。
浏览器数据包截获Man-in-the-browser
oneVs1的专栏
04-12 4027
Man-in-the-browser跟man-in-the-middle(中间人攻击)有点类似,浏览器(IE, firefox)被木马感染后,木马可以修改web页面,修改或者添加http(s)中的任何数据。而这个过程中用户和服务器都不知晓。去年玩过一个flash游戏,游戏成绩最后使用一个POST请求score=2000,通过https传送到服务器上。这时注入一段程序到浏览器中,在数据加密之前把成绩
Qakbot新型感染链:使用Windows7系统侧加载感染设备
AIwenIPgeolocation的博客
07-26 352
DLL侧加载(DLL side-loading)是一种常见的攻击方法,也就是我们常说的“白加黑”技术,它利用了Windows中处理动态链接库(DLL)的方式。Qakbot恶意软件的开发者通过使用Windows7系统在被感染的计算机上侧加载恶意负载,最终达到感染设备的效果。...
如何使用ntopng来检测Qakbot木马
虹科网络安全的博客
04-08 395
文章目录故事的开始开始分析结论关注我们 故事的开始 我现在使用ntopng进行网络监视已经有一段时间了,我很想知道,当检测到恶意软件时,ntopng会发出什么警报。 网站恶意软件流量分析是捕获网络流量中恶意软件的重要来源。我决定以一个Qakbot感染的spambot活动为例。首先需要了解如下内容 Qakbot:一个活跃的银行木马 Cobalt Strike:一款商业渗透测试工具,不幸的是,Cobalt Strike的盗版已经被泄露。 Spambot活动,分发QakBot 默认情况下,ntopng是监控实时
依托电子邮件传播的银行木马QakBot
互联网安全研究院
09-16 342
近年来,QakBot已成为全球流行的银行木马之一。它的主要目的是窃取银行凭证(如登录名、密码等)。时至今日,QakBot仍在不断更新和发展,不断增加新的功能并更新其模块,以窃取信息并使收入最大化。 QakBot恶意软件入侵后,会监视金融业务、自我传播和安装勒索软件等,以便从受感染的企业机构中获得最大收益。并且,我国是该木马的主要攻击国,主要针对政府、金融、企业、医疗等关键行业。 QakBot传播方式 QakBot主要通过垃圾邮件传播和感染受害者的,其电子邮件附件包含Microsoft Office文档
QakBot银行恶意软件导致大量 Active Directory 被锁定
weixin_33975951的博客
09-18 196
本文讲的是QakBot银行恶意软件导致大量 Active Directory 被锁定,近日,IBM公司的恶意软件研究人员注意到,成百上千个Active Directory用户锁定在其公司的域名之外,而此次事件正是由Qbot银行恶意软件所造成的。 关于Active Directory 活动目录(Active Directory)是面向 Windows ...
通信工程极化码编码技术鼻祖文章
04-21
本文档深入探讨了通信工程中的极化码编码技术,由通信工程领域的先驱Arikan教授首次提出,他发表在《IEEE Transactions on Information Theory》2009年7月刊上。这篇名为“Channel Polarization: A Method for ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值