Siber güvenlik araştırmacıları, çok yönlü Qakbot bankacılık truva atının şifrelenmiş yapılandırma verilerinin sisteme eklenmesini gerçekleştirdiği mekanizmanın kodunu çözdüler. Windows Kayıt Defteri.
QBot, QuackBot ve Pinkslipbot olarak da bilinen Qakbot, gözlemlenen Temelde bilgi çalan bir kötü amaçlı yazılım olarak tasarlanmış olmasına rağmen, Qakbot o zamandan beri hedeflerini değiştirdi ve nihai amacı virüslü makinelere fidye yazılımı yüklemek olan Cobalt Strike Beacon gibi taviz sonrası saldırı platformları sunmak için yeni işlevler elde etti.
Trustwave araştırmacıları Lloyd Macrohon ve Rodel Mendrez, The Hacker News ile paylaşılan bir raporda, “Yanal hareket, e-posta ve tarayıcı verilerini sızdırma ve ek kötü amaçlı yazılım yükleme yeteneği gibi tanıtılan yeni yeteneklerle sürekli olarak geliştirildi.” Dedi.
Son aylarda, kimlik avı kampanyaları, Cobalt Strike ve QBot gibi son aşama yüklerini almak için bir kanal görevi gören SQUIRRELWAFFLE adlı yeni bir yükleyicinin dağıtımıyla sonuçlandı.
Qakbot’un daha yeni sürümleri, e-posta ve tarayıcı verilerini ele geçirme ve kötü amaçlı yazılımla ilgili şifreli yapılandırma bilgilerini kayıt defterine ekleme ve bunları diskteki bir dosyaya yazma girişimlerinin bir parçası olarak kayıt defterine ekleme becerisini de kazandı. enfeksiyon.
Hornetsecurity araştırmacıları, “QakBot tamamen dosyasız gitmese de, yeni taktikleri kesinlikle tespitini azaltacaktır.” işaret etti Aralık 2020’de.
Trustwave’in kötü amaçlı yazılım analizi, bu işlemi tersine mühendislikle gerçekleştirmeyi ve kayıt defteri anahtarında depolanan yapılandırmanın şifresini çözmeyi amaçlarken, siber güvenlik şirketi, kayıt defteri anahtarı değeri verilerini şifrelemek için kullanılan anahtarın, bilgisayar adı, birim seri numarası, ve daha sonra bir baytlık tanımlayıcı (ID) ile birlikte hash’lenen ve tuzlanan kullanıcı hesabı adı.
” SHA1 karma sonucu, kimlikle ilgili kayıt defteri anahtarı değeri verilerinin şifresini çözmek için türetilmiş bir anahtar olarak kullanılacaktır. RC4 algoritma,” dedi araştırmacılar, kullanılabilir hale getirmenin yanı sıra Python tabanlı şifre çözücü yardımcı programı yapılandırmayı kayıt defterinden çıkarmak için kullanılabilir.
.
siber-2