你是否知道有这样一种银行木马?
擅长以恶意邮件为载体
来窃取财务凭证等重要信息
横行霸道十余载
仍在不断进化
键盘记录、后门功能和逃避检测
均不在话下
让我们一起揭开Qakbot的邪恶面纱
关于Qakbot
Qakbot银行木马通常是通过电子邮件附件传播,一旦受害者点击邮件附件,QAKBOT就会安装到受害主机上,收集受害主机上的信息并上报CC服务器。近日,亚信安全截获了携带QAKBOT木马的最新电子邮件样本,与以往不同的是,此次截获的电子邮件带有一个HTML文件附件,采用了HTML偷渡技术有效规避杀软检测,可以帮助攻击者将恶意的有效载荷隐藏在看似正常的HTML文件中,来规避内容过滤器和防火墙的检测,从而进行恶意代码分发。
攻击流程
亚信安全产品解决方案
码版本17..60,云病毒码版本17..71,全球码版本17..00已经可以检测,请用户及时升级病毒码版本;
亚信安全DDAN沙盒平台可以检测该木马的恶意行为:
安全建议
全面部署安全产品,保持相关组件及时更新;
不要点击来源不明的QQ文件、邮件、附件以及邮件中包含的链接;
请到正规网站下载程序;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
尽量关闭不必要的端口及网络共享;
病毒详细分析
我们以最新截获的电子邮件为例进行分析,该电子邮件携带一个HTML文件附件(FXS_.html),用户一旦下载该HTML附件,并在浏览器中打开,就会下载一个有密码保护的ZIP档案(FXS_.zip),解压密码会显示在浏览器中,该ZIP文档则包含一个ISO文件。
打开下载的html文件进行分析,我们发现,zip档案通过base64编码的形式存储在JavaScript变量中,用户打开html文件后javascript代码自动运行,将base64编码的信息还原然后弹出下载框,用户点击ok后,就会将zip档案保存到用户指定的位置。
解压下载好的zip档案,里面包含一个ISO文件。直接装载此ISO文件,用户只会看到一个LNK快捷方式,其他的文件均是隐藏文件。
我们用7zip打开ISO文件后,才能发现其他隐藏的文件。
用户双击这个快捷方式会运行隐藏的恶意文件。
QAKBOTLOADER--WMK9.DAT分析
该loader是一个dephi程序,运行后进行解密操作,在内存中解密出QAKBOT本体然后跳转执行。
解密出的QAKBOT本体是C++编译的Dll文件。
QAKBOTDLL文件分析
运行后首先通过APIGetFileAttributes检查C:\INTERNAL\__empty属性,如果API返回失败则会退出运行。
判断环境变量SELF_TEST_1的状态,来决定是否继续执行恶意例程。
环境变量检查通过后,创建一个新线程执行恶意例程。
线程执行后检测杀软进程。
创建傀儡进程explorer.exe。
进程注入。
创建计划任务达到持久化目的:
其中的Base64编码解码后如下:
regsvr32.exe"C:\Users\Administrator\AppData\Local\Temp\S6SQEQ6\WMK9.DAT.dll"
将本机信息发送给远程CC服务器: