Qakbot病毒分析与查杀
  

SSEC 4004

{{ttag.title}}
本帖最后由 SSEC 于 2017-7-26 14:29 编辑

Qakbot病毒分析与查杀
1 简述

深信服安全实验室
1.1什么是Qakbot病毒
Qakbot病毒是一种银行木马,受影响系统为微软Windows。Qakbot发现于2009年,旨在专门针对企业、银行、医疗、教育等机构进行强大的信息窃取功能,并持续监控用户的银行活动以欺诈大量钱财。

1.2 有哪些危害
感染Qakbot的主机通常其多数进程都会被挂上钩子,系统进程explorer.exe、IE浏览器等会被注入恶意代码。此外,受感染的主机还可能进行横向移动,将自身病毒传染给局域网内的其它主机。

Qakbot的目的在于长期窃取受害者的重要信息,特别是企业用户的银行账号等涉及钱财的信息。当然,为了充分榨干受害者主机,该病毒也可能利用其做为跳板,发送大量的垃圾邮件、钓鱼邮件、欺诈邮件。

实际上,感染Qakbot已经意味着主机处于高风险之中,最好及时清理以减少经济损失。
2 中毒症状
2.1 常见感染路径
Qakbot变种很多,通常运行起来之后,常见的释放路径如下(释放自身文件):

  1. C:\documents and settings\all users\applicationdata\microsoft\[随机]\[随机].exe
  2. C:\WINDOWS\TEMP\[随机].[随机]
  3. C:\WINDOWS\temp\[随机].exe
复制代码
95406597833044af1b.png

81850597833216edac.png


2.2 添加启动项
Qakbot会感染系统注册表启动项,以添加或修改键值的方式,达到开机自启动。这里,列出Qakbot感染的常见启动项:

使用PC Hunter工具,观察到如下启动项被Qakbot感染:

  1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  2. Everything和dxcunvno 对应键值
  3. C:\documents and setting\all users\applicationdata\microsoft\tqtjj\tqtjj.exe
复制代码

63594597833605fc5b.png
            
如果我们使用regedit打开来看,会发现该注册表项是不存在的。
920459783590582cc.png
            但实际上,使用底层命令RegQuery却能把该注册表项枚举出来,说明Qakbot为了隐藏该注册表项,已经在应用层挂了钩子,返回不完整的信息。
788875978359f62ad4.png


2.3 病毒进程
Qakbot病毒可能是独立运行的病毒进程,也可能是将恶意代码注入到系统进程中运行,也可能都同时进行。

下图展示的是Qakbot的某个变种,可以看到Qakbot病毒同时有自己的独立病毒进程tqtjj.exe,以及注入到IE浏览器进程中的恶意代码,二者都会加载一个关键病毒模块,即tqtjj.dll。
5132159783600d9163.png

Qakbot病毒进行大量信息窃取的方式是通过挂钩子,基本上只要正常程序一运行,就会被挂上钩子。如下图所示,大量的进程被挂上了inline型的进程钩子,Hook的函数如下(下图红框):

462295978361d08058.png         
挂钩HttpSendRequestA等HTTP请求类函数,是为了窃取HTTP流量中的重要信息(这些信息通常可以在浏览器中可以找到)。
挂钩DnsQuery_A等DNS请求类函数,是为了过滤关键域名信息,把安全站点拦截掉。
挂钩RegEnumValueA等注册表查询类函数,是为了隐蔽Qakbot自身的注册表启动项信息。

            有意思的是,Qakbot在对其它进程进行恶意代码注入或者流量截取的时候,会将相关信息保存在一个伪造的dll文件中。
225715978363c9c07d.png


2.4 网络行为
Qakbot病毒通常并不马上与远控服务器进行通信,或者回传重要信息。它往往是将窃取到的敏感信息,利用劫持到的FTP账号,上传到合法的FTP服务器上。
以下截图就是某个Qakbot变种的FTP流量。可以看到,它正在使用某个账号,尝试登陆到某个FTP服务器上。
7204159783655406c4.png


            Qakbot病毒的一个可怕之处在于它是浏览器中间人角色,即该病毒已经注入到了浏览器中,它可以任意获取用户在浏览器输入的内容,取得浏览器访问网站后产生的认证、Cookie等关键信息。
            如下图所示,访问工商银行网站后产生的Cookies信息,就会被Qakbot所截获。
5320359783667b8a5e.png


Qakbot的C&C站点很多,下图是某个Qakbot变种抓到的域名站点:

6021559783678bc17b.png

威胁情报显示,spotrate.info是一个常见的Qakbot接入地址。

55985978368c582a6.png




3 如何查杀
3.1 使用杀毒软件
Qakbot病毒目前没有专杀工具,推荐使用杀毒软件进行全盘扫描,且最好将自己的各种账号密码进行重设。

常见的杀毒软件很多,尝试了多种杀软对Qakbot的查杀效果,发现360杀毒相对较好,链接如下:

注:查杀结束之后,一定要重启下主机,这是因为杀毒软件可能只删除了病毒文件或者剥离了病毒模块,但并不一定能将已感染进程的钩子或恶意代码修复干净,而重启能解决这个问题。

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
干货满满
每周精选
技术咨询
标准化排查
自助服务平台操作指引
信服课堂视频
新版本体验
秒懂零信任
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人