Sophos發(fā)布Qakbot殭尸網(wǎng)絡(luò)研究 透過劫持電郵傳播

Sophos今日發(fā)布一篇對Qakbot殭尸網(wǎng)絡(luò)的深入研究，解釋為什么它對企業(yè)來說變得更先進(jìn)和更危險(xiǎn)。Sophos指出，殭尸網(wǎng)絡(luò)隨后會下載一系列額外的惡意模塊，以增強(qiáng)核心殭尸網(wǎng)絡(luò)的功能。
在這篇《Qakbot將自己插入電子郵件對話中》文章，Sophos研究人員詳細(xì)介紹最近的Qakbot殭尸網(wǎng)絡(luò)如何透過劫持電子郵件對話來進(jìn)行傳播，并會從遭感染的計(jì)算機(jī)收集各種設(shè)定信息，包括用戶帳戶和權(quán)限、已安裝軟件、正在運(yùn)作的服務(wù)等。
Qakbot的惡意軟件程序代碼具有非常規(guī)的加密功能，還會用于隱藏通訊內(nèi)容。Sophos對其惡意模塊進(jìn)行解密，并對殭尸網(wǎng)絡(luò)的命令和控制系統(tǒng)進(jìn)行譯碼，以解讀Qakbot如何接收指令。
Sophos首席威脅研究員Andrew Brandt表示：「Qakbot是一種模塊化且多用途的殭尸網(wǎng)絡(luò)，它透過電子郵件傳播，可扮演成惡意軟件的傳遞網(wǎng)絡(luò)，所以越來越受到攻擊者歡迎，例如Trickbot和Emotet。Sophos對Qakbot的深入分析揭露了擷取受害計(jì)算機(jī)設(shè)定數(shù)據(jù)的細(xì)節(jié)、殭尸網(wǎng)絡(luò)處理復(fù)雜命令序列的能力，以及一系列能擴(kuò)展殭尸網(wǎng)絡(luò)核心引擎功能的裝載。以為『商品型』殭尸網(wǎng)絡(luò)只是煩人的日子早已遠(yuǎn)去?！?br/>Andrew Brandt進(jìn)一步表示：「安全部門需要認(rèn)真處理網(wǎng)絡(luò)上存在的Qakbot，并且調(diào)查和刪除每一個(gè)痕跡。殭尸網(wǎng)絡(luò)感染是勒索軟件攻擊的已知前兆。不僅是因?yàn)闅櫴W(wǎng)絡(luò)可以傳播勒索軟件，更因殭尸網(wǎng)絡(luò)開發(fā)者會出售或出租這些遭破壞網(wǎng)絡(luò)的訪問權(quán)限。例如，Sophos就遇到過將Cobalt Strike信標(biāo)直接傳送到遭感染主機(jī)的Qakbot樣本。一旦Qakbot操作者想要利用這些遭感染的計(jì)算機(jī)，他們就可以將這些信目標(biāo)訪問權(quán)限轉(zhuǎn)讓、出租或出售給付費(fèi)的客戶?！?br/>Qakbot殭尸網(wǎng)絡(luò)將惡意郵件插入到現(xiàn)有的電子郵件討論串中。插入的電子郵件包括一句簡短的句子和一個(gè)下載包含惡意Excel電子表格的zip檔案鏈接。使用者會被要求「打開內(nèi)容」以觸發(fā)感染鏈。一旦殭尸網(wǎng)絡(luò)感染新目標(biāo)，它會進(jìn)行詳細(xì)的設(shè)定掃描，將數(shù)據(jù)分享到命令和控制服務(wù)器，然后下載其他惡意模塊。
Qakbot殭尸網(wǎng)絡(luò)會以動態(tài)鏈接庫（DLL）的形式下載至少三種不同的惡意裝載。據(jù)Sophos稱，這些DLL裝載將為殭尸網(wǎng)絡(luò)提供更多種功能。
這些裝載會被插入瀏覽器并置入一個(gè)將密碼竊取程序代碼插入網(wǎng)頁的模塊；一個(gè)執(zhí)行網(wǎng)絡(luò)掃描的模塊，收集遭感染計(jì)算機(jī)鄰近其他計(jì)算機(jī)的數(shù)據(jù)；一個(gè)會識別十幾個(gè)SMTP電子郵件服務(wù)器地址，然后嘗試聯(lián)機(jī)到每個(gè)服務(wù)器并發(fā)送垃圾郵件的模塊。
Sophos建議使用者謹(jǐn)慎處理不尋常或預(yù)期之外的電子郵件，即使這些郵件看似是對現(xiàn)有電子郵件討論的回復(fù)。在Sophos調(diào)查的Qakbot活動中，一個(gè)收件者可視為潛在危險(xiǎn)的信號是在URL中使用了拉丁詞組。
安全部門應(yīng)檢查現(xiàn)有安全技術(shù)提供的行為保護(hù)是否可以防止Qakbot感染。如果遭感染的使用者嘗試聯(lián)機(jī)到已知的命令和控制地址或網(wǎng)域，網(wǎng)絡(luò)設(shè)備也會通報(bào)系統(tǒng)管理員。 Sophos端點(diǎn)產(chǎn)品如Intercept X，可透過偵測攻擊者的動作和行為來保護(hù)使用者。