Microsoft, geçen yıl makroların açık internetten indirilen Office dosyalarında çalışmasını nihayet engellediğinde kötü amaçlı yazılım dağıtımını yavaşlatarak iyi bir iş çıkardı. Ancak korkunç Qbot kötü amaçlı yazılımı söz konusu olduğunda, engelleme yalnızca küçük bir aksilikti.
Black Lotus Labs’ın Lumen’in küresel IP omurgasından telemetriye dayalı en yeni araştırması, Qbot operatörlerinin yalnızca dağıtım ve konuşlandırma yöntemlerini değil, aynı zamanda komuta ve kontrol sunucularını (C2) değiştirerek hızlı uyum sağladığını gösteriyor.
Her şey göz önüne alındığında, Qbot artık makro yüklü Office dosyalarının kasabanın konuşması olduğu zamana kıyasla daha az tehdit teşkil etmiyor.
Dayanıklı C2’ler
Raporda, “Qakbot, mimarisini oluşturmak ve geliştirmek için sahaya uygun bir yaklaşım benimseyerek sebat etti.” “Emotet gibi tam sayılara dayanmasa da, çeşitli ilk erişim yöntemlerini kullanarak ve esnek ama kaçamak bir konut C2 mimarisini koruyarak teknik hüner sergiliyor.”
Microsoft büyük makro değişikliğini yaptığında, Qbot’un operatörleri birkaç ay düşük kaldı, ancak 2023’ün başında yeni dağıtım yöntemleriyle yeniden ortaya çıktı. Bunlar arasında kötü amaçlı OneNote dosyaları, Mark of the Web kaçırma teknikleri ve HTML kaçakçılığı yer alır.
Grup ayrıca C2 sunucularını yönetme şeklini de değiştirdi. Günümüzde, onları güvenliği ihlal edilmiş web sunucularında gizli tutuyorlar ve mevcut bir konut IP alanında (barındırılan bir VPS’nin aksine) barındırıyorlar.
Bu uç noktalarda ısrar etmek zor olduğundan, sunucular uzun süre ortalıkta dolaşmaz. Bununla birlikte, botnet spam döngüsü sırasında her hafta 90’a kadar yeni C2 ortaya çıktığı için, güçleri sayılarındadır.
Ayrıca, operatörler botları sunuculara çevirerek C2 sayılarını destekleyebilirler. Araştırmacılar, C2’nin %25’inin yalnızca bir gün aktif olduğundan ve %50’sinin bir haftadan uzun sürmediğinden, bunun operasyon için gerekli olduğunu söylüyor.
Her şey düşünüldüğünde, Qbot’un uzun bir süre ortalıkta dolaşacağını varsaymak güvenli, araştırmacılar şu sonuca varıyorlar: “Şu anda Qakbot’un yavaşladığına dair hiçbir işaret yok” diyorlar.
Aracılığıyla: Kayıt
