Qakbot病毒分析与查杀
  

SSEC 发表于 2017-7-26 14:11

本帖最后由 SSEC 于 2017-7-26 14:29 编辑

Qakbot病毒分析与查杀
1 简述

深信服安全实验室
1.1什么是Qakbot病毒
Qakbot病毒是一种银行木马,受影响系统为微软Windows。Qakbot发现于2009年,旨在专门针对企业、银行、医疗、教育等机构进行强大的信息窃取功能,并持续监控用户的银行活动以欺诈大量钱财。

1.2 有哪些危害
感染Qakbot的主机通常其多数进程都会被挂上钩子,系统进程explorer.exe、IE浏览器等会被注入恶意代码。此外,受感染的主机还可能进行横向移动,将自身病毒传染给局域网内的其它主机。

Qakbot的目的在于长期窃取受害者的重要信息,特别是企业用户的银行账号等涉及钱财的信息。当然,为了充分榨干受害者主机,该病毒也可能利用其做为跳板,发送大量的垃圾邮件、钓鱼邮件、欺诈邮件。

实际上,感染Qakbot已经意味着主机处于高风险之中,最好及时清理以减少经济损失。
2 中毒症状
2.1 常见感染路径
Qakbot变种很多,通常运行起来之后,常见的释放路径如下(释放自身文件):

  1. C:\documents and settings\all users\applicationdata\microsoft\[随机]\[随机].exe
  2. C:\WINDOWS\TEMP\[随机].[随机]
  3. C:\WINDOWS\temp\[随机].exe
复制代码
95406597833044af1b.png

81850597833216edac.png


2.2 添加启动项
Qakbot会感染系统注册表启动项,以添加或修改键值的方式,达到开机自启动。这里,列出Qakbot感染的常见启动项:

使用PC Hunter工具,观察到如下启动项被Qakbot感染:

  1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  2. Everything和dxcunvno 对应键值
  3. C:\documents and setting\all users\applicationdata\microsoft\tqtjj\tqtjj.exe
复制代码

63594597833605fc5b.png
            
如果我们使用regedit打开来看,会发现该注册表项是不存在的。
920459783590582cc.png
            但实际上,使用底层命令RegQuery却能把该注册表项枚举出来,说明Qakbot为了隐藏该注册表项,已经在应用层挂了钩子,返回不完整的信息。
788875978359f62ad4.png


2.3 病毒进程
Qakbot病毒可能是独立运行的病毒进程,也可能是将恶意代码注入到系统进程中运行,也可能都同时进行。

下图展示的是Qakbot的某个变种,可以看到Qakbot病毒同时有自己的独立病毒进程tqtjj.exe,以及注入到IE浏览器进程中的恶意代码,二者都会加载一个关键病毒模块,即tqtjj.dll。
5132159783600d9163.png

Qakbot病毒进行大量信息窃取的方式是通过挂钩子,基本上只要正常程序一运行,就会被挂上钩子。如下图所示,大量的进程被挂上了inline型的进程钩子,Hook的函数如下(下图红框):

462295978361d08058.png         
挂钩HttpSendRequestA等HTTP请求类函数,是为了窃取HTTP流量中的重要信息(这些信息通常可以在浏览器中可以找到)。
挂钩DnsQuery_A等DNS请求类函数,是为了过滤关键域名信息,把安全站点拦截掉。
挂钩RegEnumValueA等注册表查询类函数,是为了隐蔽Qakbot自身的注册表启动项信息。

            有意思的是,Qakbot在对其它进程进行恶意代码注入或者流量截取的时候,会将相关信息保存在一个伪造的dll文件中。
225715978363c9c07d.png


2.4 网络行为
Qakbot病毒通常并不马上与远控服务器进行通信,或者回传重要信息。它往往是将窃取到的敏感信息,利用劫持到的FTP账号,上传到合法的FTP服务器上。
以下截图就是某个Qakbot变种的FTP流量。可以看到,它正在使用某个账号,尝试登陆到某个FTP服务器上。
7204159783655406c4.png


            Qakbot病毒的一个可怕之处在于它是浏览器中间人角色,即该病毒已经注入到了浏览器中,它可以任意获取用户在浏览器输入的内容,取得浏览器访问网站后产生的认证、Cookie等关键信息。
            如下图所示,访问工商银行网站后产生的Cookies信息,就会被Qakbot所截获。
5320359783667b8a5e.png


Qakbot的C&C站点很多,下图是某个Qakbot变种抓到的域名站点:

6021559783678bc17b.png

威胁情报显示,spotrate.info是一个常见的Qakbot接入地址。

55985978368c582a6.png




3 如何查杀
3.1 使用杀毒软件
Qakbot病毒目前没有专杀工具,推荐使用杀毒软件进行全盘扫描,且最好将自己的各种账号密码进行重设。

常见的杀毒软件很多,尝试了多种杀软对Qakbot的查杀效果,发现360杀毒相对较好,链接如下:

注:查杀结束之后,一定要重启下主机,这是因为杀毒软件可能只删除了病毒文件或者剥离了病毒模块,但并不一定能将已感染进程的钩子或恶意代码修复干净,而重启能解决这个问题。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

×
有话想说?点这里!
可评论、可发帖

本版版主

46
11
1

发帖

粉丝

关注

本版热帖

本版达人

奋斗的小破孩

本周建议达人

SSEC

本周分享达人