威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式

逆向病毒分析 1年前 (2022) admin
361 0 0
威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式

你是否知道有这样一种银行木马?

擅长以恶意邮件为载体

来窃取财务凭证等重要信息

横行霸道十余载

仍在不断进化

键盘记录、后门功能和逃避检测

均不在话下

让我们一起揭开Qakbot的邪恶面纱


关于Qakbot


Qakbot银行木马通常是通过电子邮件附件传播,一旦受害者点击邮件附件,QAKBOT就会安装到受害主机上,收集受害主机上的信息并上报C&C服务器。近日,亚信安全截获了携带QAKBOT木马的最新电子邮件样本,与以往不同的是,此次截获的电子邮件带有一个HTML文件附件,采用了HTML偷渡技术有效规避杀软检测,可以帮助攻击者将恶意的有效载荷隐藏在看似正常的HTML文件中,来规避内容过滤器和防火墙的检测,从而进行恶意代码分发。


攻击流程

威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


亚信安全产品解决方案


码版本17.881.60,云病毒码版本17.881.71,全球码版本17.881.00已经可以检测,请用户及时升级病毒码版本;

威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式

亚信安全DDAN沙盒平台可以检测该木马的恶意行为:

威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式
威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式
威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式



安全建议


  • 全面部署安全产品,保持相关组件及时更新;

  • 不要点击来源不明的QQ文件、邮件、附件以及邮件中包含的链接;

  • 请到正规网站下载程序;

  • 采用高强度的密码,避免使用弱口令密码,并定期更换密码;

  • 尽量关闭不必要的端口及网络共享;


病毒详细分析


向上滑动阅览


我们以最新截获的电子邮件为例进行分析,该电子邮件携带一个HTML文件附件(FXS_6027130.html),用户一旦下载该HTML附件,并在浏览器中打开,就会下载一个有密码保护的ZIP档案(FXS_6027130.zip),解压密码会显示在浏览器中,该ZIP文档则包含一个ISO文件。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


打开下载的html文件进行分析,我们发现,zip档案通过base64编码的形式存储在JavaScript变量中,用户打开html文件后javascript代码自动运行,将base64编码的信息还原然后弹出下载框,用户点击ok后,就会将zip档案保存到用户指定的位置。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


解压下载好的zip档案,里面包含一个ISO文件。直接装载此ISO文件,用户只会看到一个LNK快捷方式,其他的文件均是隐藏文件。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


我们用7zip打开ISO文件后,才能发现其他隐藏的文件。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


用户双击这个快捷方式会运行隐藏的恶意文件。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


QAKBOT LOADER –WMK9.DAT分析


该loader是一个dephi程序,运行后进行解密操作,在内存中解密出QAKBOT本体然后跳转执行。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


解密出的QAKBOT本体是C++编译的 Dll文件。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


QAKBOT DLL文件分析


运行后首先通过API GetFileAttributes检查C:INTERNAL__empty属性,如果API返回失败则会退出运行。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


判断环境变量SELF_TEST_1 的状态,来决定是否继续执行恶意例程。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


环境变量检查通过后,创建一个新线程执行恶意例程。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


线程执行后检测杀软进程。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


创建傀儡进程explorer.exe。


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


进程注入。

威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


创建计划任务达到持久化目的:


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


其中的Base64编码解码后如下:

regsvr32.exe “C:UsersAdministratorAppDataLocalTempS6SQEQ6WMK9.DAT.dll”


将本机信息发送给远程C&C服务器:


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式



亚信安全原创


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式

往期精选

多家受害者赎金已超百万美元,Black Basta勒索家族是何来头?

2022-10-25

威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式

威胁Xin解析 | 起底TeamTNT挖矿家族的肆虐之路

2022-08-17

威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式

挖矿治理 | 一图看懂8220黑产团伙的掘金之路

2022-03-03

威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式


威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式

了解亚信安全,请点击“阅读原文”

原文始发于微信公众号(亚信安全):威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式

版权声明:admin 发表于 2022年11月16日 下午7:41。
转载请注明:威胁Xin解析 | 隐藏在HTML中的QAKBOT银行木马再进化出新招式 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...