威胁Xin解析隐藏在HTML中的QAKB

北京扁平疣最好医院 http://pf.39.net/bdfyy/bdfyc/210314/8744646.html

你是否知道有这样一种银行木马?

擅长以恶意邮件为载体

来窃取财务凭证等重要信息

横行霸道十余载

仍在不断进化

键盘记录、后门功能和逃避检测

均不在话下

让我们一起揭开Qakbot的邪恶面纱

关于Qakbot

Qakbot银行木马通常是通过电子邮件附件传播,一旦受害者点击邮件附件,QAKBOT就会安装到受害主机上,收集受害主机上的信息并上报CC服务器。近日,亚信安全截获了携带QAKBOT木马的最新电子邮件样本,与以往不同的是,此次截获的电子邮件带有一个HTML文件附件,采用了HTML偷渡技术有效规避杀软检测,可以帮助攻击者将恶意的有效载荷隐藏在看似正常的HTML文件中,来规避内容过滤器和防火墙的检测,从而进行恶意代码分发。

攻击流程

亚信安全产品解决方案

码版本17..60,云病毒码版本17..71,全球码版本17..00已经可以检测,请用户及时升级病毒码版本;

亚信安全DDAN沙盒平台可以检测该木马的恶意行为:

安全建议

全面部署安全产品,保持相关组件及时更新;

不要点击来源不明的QQ文件、邮件、附件以及邮件中包含的链接;

请到正规网站下载程序;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

尽量关闭不必要的端口及网络共享;

病毒详细分析

我们以最新截获的电子邮件为例进行分析,该电子邮件携带一个HTML文件附件(FXS_.html),用户一旦下载该HTML附件,并在浏览器中打开,就会下载一个有密码保护的ZIP档案(FXS_.zip),解压密码会显示在浏览器中,该ZIP文档则包含一个ISO文件。

打开下载的html文件进行分析,我们发现,zip档案通过base64编码的形式存储在JavaScript变量中,用户打开html文件后javascript代码自动运行,将base64编码的信息还原然后弹出下载框,用户点击ok后,就会将zip档案保存到用户指定的位置。

解压下载好的zip档案,里面包含一个ISO文件。直接装载此ISO文件,用户只会看到一个LNK快捷方式,其他的文件均是隐藏文件。

我们用7zip打开ISO文件后,才能发现其他隐藏的文件。

用户双击这个快捷方式会运行隐藏的恶意文件。

QAKBOTLOADER--WMK9.DAT分析

该loader是一个dephi程序,运行后进行解密操作,在内存中解密出QAKBOT本体然后跳转执行。

解密出的QAKBOT本体是C++编译的Dll文件。

QAKBOTDLL文件分析

运行后首先通过APIGetFileAttributes检查C:\INTERNAL\__empty属性,如果API返回失败则会退出运行。

判断环境变量SELF_TEST_1的状态,来决定是否继续执行恶意例程。

环境变量检查通过后,创建一个新线程执行恶意例程。

线程执行后检测杀软进程。

创建傀儡进程explorer.exe。

进程注入。

创建计划任务达到持久化目的:

其中的Base64编码解码后如下:

regsvr32.exe"C:\Users\Administrator\AppData\Local\Temp\S6SQEQ6\WMK9.DAT.dll"

将本机信息发送给远程CC服务器:




转载请注明:http://www.aierlanlan.com/rzfs/4187.html

  • 上一篇文章:
  •   
  • 下一篇文章: