21

Qakbot恶意行为检测

 4 years ago
source link: https://www.freebuf.com/articles/network/228047.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

Qakbot是一款窃取敏感信息的恶意软件,也被称为Qbot。该恶意软件家族已经活跃了多年,本文利用Wireshark分析Qakbot恶意流量数据包。了解分析这些流量模式对于检测和调查Qakbot至关重要。

请注意,本教程中使用的是恶意软件的pcap流量包,应在非Windows环境中查看此pcap。如果是Windows计算机,建议安装Linux虚拟机查看pcap。

本文将包括以下内容:Qakbot传播方法、初始zip恶意附件、Qakbot Windows可执行文件、感染后HTTPS的活动、其他感染后行为。本文使用的pcap 下载链接 ,文件名为2020-01-29-Qbot-infection-traffic.pcap.zip,图1显示在Wireshark中打开的pcap。

EnqmqmR.jpg!web

Qakbot传播方式

Qakbot最常通过恶意垃圾邮件(malspam)传播,近期在2019年11月也通过漏洞传播。最近Qakbot基于恶意垃圾邮件攻击活动遵循图2流程。

aEfIfef.jpg!web

初始Zip恶意附件

最近Qakbot通过恶意垃圾电子邮件传播,示例如下:

ZJNBJvr.jpg!web

电子邮件中的URL以简短的数字序列为结尾,后跟.zip。已检测到的url见表1。

em222uQ.jpg!web

在pcap中可以利用Wireshark过滤器,HTTP.request.uri contains.zip找到zip的HTTP请求,如图4所示。

Z3qi6n2.jpg!web

按照TCP stream查看zip,如图5和图6所示,然后从pcap导出zip存档,如图7所示。

JVBjMfr.jpg!web

JJfYraE.jpg!web

qIfABbN.jpg!web

在大多数情况下,File→Export Objects→HTTP可导出zip文件。但如图8所示,无法导出名为9312.zip的文件,因为它被分成数百个较小的数据片段。

iIbAzub.jpg!web

可以从TCP流窗口导出数据,并在十六进制编辑器中编辑二进制文件,步骤如下:查找9312.zip的TCP流、TCP流窗口中仅显示响应流量、将“Show and save data as”从ASCII更改为Raw、将数据保存为二进制文件、在十六进制编辑器中打开二进制文件,并删除‘PK’之前的HTTP请求头、将文件保存为zip、检查文件是否正确。

rE363eb.jpg!web

A7FBnaM.jpg!web

vQ7feqJ.jpg!web

上图显示了如何检查文件。zip文件中包含VBS文件,对提取的VBS文件分析表明,它会生成下一个与Qakbot相关的URL:Qakbot Windows可执行文件。

Qakbot Windows可执行文件

访问VBS文件生成的url会返回Qakbot Windows可执行文件。自2019年12月以来,Qakbot可执行文件URL以44444.png或444444.png结尾,详情见表2。

U3yuQjA.jpg!web

在pcap中,使用Wireshark过滤器:hxxp.request.uri contains.png找到Qakbot可执行文件的HTTP GET请求,如图15所示。

IRBRBnb.jpg!web

文件→导出对象→HTTP 从pcap导出此对象,并检查结果,如图17所示。

mYvaUj6.jpg!web

HTTPS活动

使用过滤器快速查看pcap中的web流量。找到Qakbot可执行文件alphaenergyeng[.]com的HTTP GET请求。如图18所示,指向68.1.115[.]106的HTTPS或SSL/TLS流量。

RjUjQnZ.jpg!web

此流量为Qakbot异常证书颁发者数据,使用以下Wireshark检查Qakbot证书颁发者数据:Ip.addr eq 68.1.115.186和ssl.handshake.type eq 11

J7BNj2j.jpg!web

locality name,、organization name、common name等通常在合法HTTPS、SSL或TLS通信的证书中找不到,发行人数据示例如下:

id-at-countryName=ES
id-at-stateOrProvinceName=IA
id-at-localityName=Uorh Ofwa
id-at-organizationName=Coejdut Mavmtko Qxyemk Dxsjie LLC.
id-at-commonName=gaevietovp.mobi

其他行为

每个活动本身并不是恶意的,但是结合之前的发现可以拼凑出完整的Qakbot恶意行为。

Qakbot另一个特征是到cdn.speedof[.]me的HTTPS流量。在Qakbot感染的机器流量中经常看到与cdn.speedof[.]me通信的流量。

UV3iMry.jpg!web

Qakbot还会从受感染的windows主机上打开所有浏览器。在沙盒( 测试视频回放 )中Qakbot在Windows 7打开Chrome、Firefox、Internet Explorer,具体访问以下地址: 

hxxp://store.nvprivateoffice[.]com/redir_chrome.html
hxxp://store.nvprivateoffice[.]com/redir_ff.html
hxxp://store.nvprivateoffice[.]com/redir_ie.html

域nvprivateoffice[.]com是2012年通过GoDaddy注册的,store.nvprivateoffice[.]com在Fedora服务器上显示nginx的默认网页。

本文测试环境中是未安装Chrome或Firefox的Windows 10主机,pcap只显示Internet Explorer和Microsoft Edge的web流量,Qakbot生成的URL都是hxxp://store.nvprivateoffice[.]com/redir_ie.html。

查找此流量方式:http.request.full_uri contains store.nvprivateoffice

qmYjYjy.jpg!web

头信息用户代理如下:

AnAN3iq.jpg!web

受Qakbot感染主机流量中还有各种电子邮件协议(如SMTP、IMAP和POP3)的通信流量。如图25所示:

过滤条件:tcp.flags eq 0×0002 and !(tcp.port eq 80) and !(tcp.port eq 443)

EfqeYre.jpg!web

从上图可以看出其访问了25、110、143、465、587、993、995等email协议端口,前两行中显示与65400端口的通信流量应该也是email相关流量。

利用以下过滤条件进一步分析:smtp or imap or pop

nm67via.jpg!web

可以从中看到许多email相关未加密的通信流量。

总结

本文提供了检查Windows感染Qakbot的基本方法,更多Qakbot的恶意pcap包可以在 malware-traffic-analysis.net 上找到。

*参考来源: unit42 ,由Kriston编译,转载请注明来自FreeBuf.COM


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK