鼻祖Qbot银行木马攻击金融机构 导致AD活动目录用户账户大量锁定 能对抗杀软和分析

ibm 安全研究人员警告称， 最近恶意软件引发的活动目录 (ad) 锁定影响了许多组织, 这似乎是 Qbot 银行恶意软件造成的。 成百上千的 ad 用户在快速连续的情况下被锁在公司的域之外, 从而阻止受影响的组织的员工访问他们的端点、公司服务器和网络资产。

Qbot在2009年首次发现，由于长时间的不活动, Qbot 继续被放在最活跃的恶意软件家族的前10名单的底部, 可以称得上是同类别中最古老的威胁之一。

Qbot 银行木马正在攻击金融机构

这些事件显然影响了许多组织， Qbot 银行木马 (也称为 Qakbot, Quakbot, 或 PinkSlip) 是罪魁祸首。金融恶意软件的目的是针对企业和从银行帐户窃取资金, 而能够通过自我复制通过共享驱动器和可移动媒体传播像蠕虫。

ibm 的Michael Oppenheim透露，该木马在2009年首次发现, 随着时间的推移，恶意软件已经进行了大量的改进，这是安全小组第一次发现 Qbot 导致 ad 账户大量锁定。目前的活动主要集中在美国的商业银行服务, 包括财政部、企业银行和商业银行。

虽然它只是一个蠕虫组件, 但是一个功能齐全的银行木马, 挤满了 "强大的信息窃取功能，包括 窥探用户的银行活动, 并最终诈骗他们的巨额资金

新版 Qbot 银行木马的功能特性

该恶意软件的特点是模块化设计, 是多线程的, 包括用于窃取网上银行凭证的组件, 实现后门, 并创建一个SOCKS 代理。Qbot恶意软件还具有广泛的 对抗分析的功能, 并且可以禁用安全程序在终端上运行，除非它具有管理员权限。

恶意软件还使用不同于其类中其他木马所使用的检测规避机制:

"在感染新的终端时, 恶意软件使用快速变异，让防病毒系统不停的猜测。它对恶意软件文件进行了细微的修改, 并在其他情况下编译了整个代码以使其看起来无法辨认, "

Qbot 使用Dropper进行分发, 通常使用延迟执行来逃避检测。在部署之后, dropper会毁掉自己的文件, 并注入到 windows autoconv.exe 命令。它使用注册表 runkey 和计划任务来自动加载自己。

在最近的攻击中, 还观察到该恶意软件执行三个特定的操作来攻击 active directory 活动目录域:

• 它会执行快速session，从而快速连续地锁定成百上千个帐户
• 会尝试执行自动登录，但有些账户根本不存在;
• 它会将恶意的可执行文件部署到网络共享, 并将其注册为服务。

Oppenheim说:

如果它们可以从域控制器 (dc) 获得,恶意软件会使用受影响用户的凭据以及相同用户的登录和域凭据的组合，试图访问和感染网络中的其他机器,

Qbot 要么收集受感染机器的用户名，要么使用硬编码的用户名列表，然后使用它进行大范围感染 。木马程序在尝试将用户名与各种密码匹配时，使用三个密码的方案。它还枚举目标计算机的网络共享, 并尝试将其自身复制到过去。

由于具有 man-in-the-browser (MitB) 功能, 恶意软件可以将恶意代码注入在线银行会话中, 并从它所控制的域中获取这些脚本，这样木马程序就可以显示假登录页, 诱使用户输入其登录凭据。

man-in-the-browser类似中间人攻击方法

Blackmoon 恶意软件窃取用户凭据的方法，类似于先前的 variants–attackers，也是用man-in-the-browser方法。据称, 2016年7月，Blackmoon 恶意软件就是用这种方法窃取了15万韩国人的凭据。

Man-in-the-browser跟man-in-the-middle（中间人攻击）有点类似，浏览器(IE, firefox)被木马感染后，木马可以修改web页面，修改或者添加http(s)中的任何数据。而这个过程中用户和服务器都不知晓

Qbot木马窃取的用户信息相当多

Qbot木马还能够窃取用户信息, 如按键、缓存凭据、数字证书、http 会话身份验证数据、cookie (包括身份验证令牌和 flash cookie) 以及 ftp 和 POP3 凭据。

它还向服务器发送有关系统、ip 地址、dns 名称的信息, 主机名、用户名、域、用户权限、os 版本、网络接口 (地址、网掩码和状态)、安装的软件、来自端点的受保护存储的凭据、帐户名和 web 服务器凭据、连接类型、POP3 用户名、服务和密码以及 smtp 服务器和电子邮件地址。

为了针对商业银行部门, 该恶意软件也知道有针对性的组织在卫生医疗和教育行业的攻击, 因为它的作者已经增加了其代码的改进, 以加强持久性驻留机制, 对抗防病毒软件，对抗技术分析的能力。

"研究人员认为, 一个封闭的, 有组织的网络犯罪团伙, 在东欧负责运营 QakBot,"

原文发布时间：2017年6月5日 

本文由：securityWeek发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/qbot-banking-trojan-make-ad-accounts-lockout#

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站