RSA：Qakbot傳播像蠕蟲(chóng)，攻擊像木馬

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

雖然Qakbot這個(gè)名字聽(tīng)起來(lái)很可笑，但當(dāng)聽(tīng)說(shuō)這個(gè)木馬是針對(duì)企業(yè)和公司帳戶時(shí)--就沒(méi)有人再笑了。Qakbot木馬以其主要的可執(zhí)行文件_qakbot.dll命名，它并不是一種新的木馬；但是RSA FraudAction 研究實(shí)驗(yàn)室卻已經(jīng)在Qakbot中發(fā)現(xiàn)了一些以前很少在其他金融犯罪軟件中出現(xiàn)的獨(dú)特屬性?！　?/P>

我們對(duì)Qakbot的最新研究表明，它的觸發(fā)列表幾乎完全包含了美國(guó)的大型金融機(jī)構(gòu)，還有幾個(gè)非美國(guó)機(jī)構(gòu)的實(shí)例。此外，Qakbot還是第一款專門(mén)針對(duì)這些金融機(jī)構(gòu)企業(yè)/公司帳戶的木馬。Qakbot為什么要局限于此？為什么不擴(kuò)大到公司賬戶之外并侵害普通消費(fèi)者？答案就是經(jīng)濟(jì)--Qakbot的目標(biāo)就是騙取更多的金錢(qián)，而這要遠(yuǎn)遠(yuǎn)超過(guò)一般私人網(wǎng)上帳戶中能夠獲取的金額。雖然Qakbot并不是第一款也不是唯一一款針對(duì)這些帳戶的木馬，但它卻是唯一一款在設(shè)計(jì)上表現(xiàn)出這類嚴(yán)格"偏愛(ài)"的木馬，并且沒(méi)有例外。

Qakbot木馬究竟是如何從企業(yè)銀行賬戶中獲取金錢(qián)的目前仍在調(diào)查之中。令人驚訝的是，我們并沒(méi)有追蹤到HTML或JavaScript代碼注入，也沒(méi)有追蹤到通常用于規(guī)避保護(hù)這些高資產(chǎn)賬戶的雙因素認(rèn)證機(jī)制的瀏覽器中間人攻擊。不過(guò)，我們懷疑Qakbot確實(shí)有某種可實(shí)時(shí)完成攻擊的模塊，否則它就不會(huì)針對(duì)企業(yè)帳戶了。

Qakbot木馬的另一個(gè)獨(dú)特屬性就是它的扮裝。 Qakbot是終極多面手，它設(shè)計(jì)成像蠕蟲(chóng)一樣的傳播--每次可以感染多臺(tái)機(jī)器--同時(shí)卻又像普通的銀行木馬一樣竊取數(shù)據(jù)。Qakbot將共享網(wǎng)絡(luò)作為其攻擊目標(biāo)，同時(shí)把其可執(zhí)行文件復(fù)制到共享目錄中；而一種能讓其在企業(yè)網(wǎng)絡(luò)上傳播的技術(shù)使每臺(tái)連接到此類網(wǎng)絡(luò)的計(jì)算機(jī)都極易受到攻擊。雖然它并不是完全原創(chuàng)的，但蠕蟲(chóng)/木馬的結(jié)合卻是非常罕見(jiàn)和有效的。

最后，Qakbot是一個(gè)組織發(fā)電機(jī)。它是第一個(gè)在客戶端側(cè)將目標(biāo)憑證從其他竊取的信息中分離出來(lái)，而不是放在卸放區(qū)的木馬。在受害者計(jì)算機(jī)上將目標(biāo)憑證與其他信息區(qū)分開(kāi)之后，目標(biāo)憑證就被發(fā)送到Qakbot的卸放服務(wù)器，而Qakbot沒(méi)有特別針對(duì)的、從實(shí)體竊取的憑證則利用劫持的FTP帳戶上傳到合法的FTP服務(wù)器上。

Qakbot所竊取信息的絕對(duì)數(shù)量及其細(xì)節(jié)令人咋舌。每次當(dāng)受感染的用戶訪問(wèn)實(shí)體的網(wǎng)站時(shí)，木馬就會(huì)將受害者計(jì)算機(jī)上傳輸?shù)臄?shù)據(jù)組織到3個(gè)獨(dú)立的文件中：系統(tǒng)信息（IP地址，DNS服務(wù)器，國(guó)家，州，城市，安裝的應(yīng)用軟件等）（見(jiàn)圖1 ），Seclog（HTTP/S POST請(qǐng)求）（見(jiàn) 圖 2），和受保護(hù)存儲(chǔ)區(qū)（保存在Internet Explorer受保護(hù)存儲(chǔ)區(qū)中的信息，以及自動(dòng)完成的憑證，包括用戶名，密碼，以及瀏覽器歷史）（見(jiàn)圖 3）。這些文件按每個(gè)用戶進(jìn)行組織，同時(shí)還連同全面的系統(tǒng)和用戶帳戶信息。何必為每臺(tái)受感染計(jì)算機(jī)上定義的每個(gè)用戶帳戶匯集如此廣泛的系統(tǒng)數(shù)據(jù)？所有的這些信息很可能由Qakbot的作者匯集起來(lái)以作將來(lái)之用。

Qakbot木馬迄今為止最著名的受害者是英國(guó)公共資助的醫(yī)療保健系統(tǒng)國(guó)家衛(wèi)生服務(wù)（NHS）。Qakbot感染了超過(guò)1100臺(tái)電腦，但卻沒(méi)有證據(jù)表明病人數(shù)據(jù)遭到了侵害，來(lái)自Facebook，Twitter，Hotmail，Gmail和雅虎的4 GB憑證被發(fā)現(xiàn)通過(guò)NHS受監(jiān)控的服務(wù)器傳出。

Qakbot的其他特性

Qakbot兩個(gè)脫穎而出的廣泛隱形功能尤其不同尋常：第一個(gè)是Qakbot廣泛的實(shí)驗(yàn)室回避程序，旨在確保該木馬不會(huì)在安全公司的研究實(shí)驗(yàn)室運(yùn)行。Qakbot的開(kāi)發(fā)者肯定不是為了使他們的犯罪軟件避免被實(shí)驗(yàn)室環(huán)境中的研究人員研究而設(shè)計(jì)實(shí)驗(yàn)室回避測(cè)試的第一個(gè)犯罪軟件作者。然而，與那些只檢查是否被運(yùn)行在虛擬機(jī)上從而確定是否繼續(xù)自安裝的其他一些木馬程序不同的是， Qakbot的作者不厭其煩地設(shè)置了七（7）次測(cè)試以確保他們的木馬不會(huì)被安全研究人員進(jìn)行反向工程并做詳細(xì)研究。

此外，更不尋常的是，如果Qakbot識(shí)別出它正在實(shí)驗(yàn)室環(huán)境中運(yùn)行，它就會(huì)特意將有關(guān)的IP地址報(bào)告給木馬卸放區(qū)：木馬將系統(tǒng)的IP地址和bot ID發(fā)送給Qakbot的卸放區(qū)（通過(guò)內(nèi)部命令getip）。這種類型的通知很可能得以執(zhí)行以將該IP地址列入黑名單，這樣木馬就不會(huì)再試圖感染同一個(gè)研究實(shí)驗(yàn)室。

實(shí)驗(yàn)室追蹤到的第二個(gè)不尋常的隱形功能就是Qakbot作者為壓縮木馬所竊憑證而自行開(kāi)發(fā)的獨(dú)特壓縮格式--實(shí)驗(yàn)室見(jiàn)證的第一個(gè)此類編程壯舉，因?yàn)榇蠖鄶?shù)銀行木馬都只是簡(jiǎn)單地使用流行的壓縮格式如ZIP, RAR, 和TARGZ。Qakbot作者專有的壓縮格式迫使專業(yè)安全研究人員不得不耗費(fèi)大量的時(shí)間和精力編寫(xiě)了一個(gè)合適的解壓縮程序。

需要著重指出的是，Qakbot木馬的分布相當(dāng)?shù)挠邢?，因此它很可能是私人所有，并且是由一個(gè)單一的網(wǎng)絡(luò)犯罪份子或團(tuán)伙操縱，而不是商業(yè)化地在地下市場(chǎng)提供。然而，盡管該木馬的流行程度較低，但其獨(dú)特的功能卻使Qakbot成為一個(gè)具有高度針對(duì)性的虛擬竊賊。