RSA：Qakbot傳播像蠕蟲，攻擊像木馬

申請免費試用、咨詢電話：400-8352-114

雖然Qakbot這個名字聽起來很可笑，但當(dāng)聽說這個木馬是針對企業(yè)和公司帳戶時--就沒有人再笑了。Qakbot木馬以其主要的可執(zhí)行文件_qakbot.dll命名，它并不是一種新的木馬；但是RSA FraudAction 研究實驗室卻已經(jīng)在Qakbot中發(fā)現(xiàn)了一些以前很少在其他金融犯罪軟件中出現(xiàn)的獨特屬性?！　?/P>

我們對Qakbot的最新研究表明，它的觸發(fā)列表幾乎完全包含了美國的大型金融機構(gòu)，還有幾個非美國機構(gòu)的實例。此外，Qakbot還是第一款專門針對這些金融機構(gòu)企業(yè)/公司帳戶的木馬。Qakbot為什么要局限于此？為什么不擴大到公司賬戶之外并侵害普通消費者？答案就是經(jīng)濟--Qakbot的目標就是騙取更多的金錢，而這要遠遠超過一般私人網(wǎng)上帳戶中能夠獲取的金額。雖然Qakbot并不是第一款也不是唯一一款針對這些帳戶的木馬，但它卻是唯一一款在設(shè)計上表現(xiàn)出這類嚴格"偏愛"的木馬，并且沒有例外。

Qakbot木馬究竟是如何從企業(yè)銀行賬戶中獲取金錢的目前仍在調(diào)查之中。令人驚訝的是，我們并沒有追蹤到HTML或JavaScript代碼注入，也沒有追蹤到通常用于規(guī)避保護這些高資產(chǎn)賬戶的雙因素認證機制的瀏覽器中間人攻擊。不過，我們懷疑Qakbot確實有某種可實時完成攻擊的模塊，否則它就不會針對企業(yè)帳戶了。

Qakbot木馬的另一個獨特屬性就是它的扮裝。 Qakbot是終極多面手，它設(shè)計成像蠕蟲一樣的傳播--每次可以感染多臺機器--同時卻又像普通的銀行木馬一樣竊取數(shù)據(jù)。Qakbot將共享網(wǎng)絡(luò)作為其攻擊目標，同時把其可執(zhí)行文件復(fù)制到共享目錄中；而一種能讓其在企業(yè)網(wǎng)絡(luò)上傳播的技術(shù)使每臺連接到此類網(wǎng)絡(luò)的計算機都極易受到攻擊。雖然它并不是完全原創(chuàng)的，但蠕蟲/木馬的結(jié)合卻是非常罕見和有效的。

最后，Qakbot是一個組織發(fā)電機。它是第一個在客戶端側(cè)將目標憑證從其他竊取的信息中分離出來，而不是放在卸放區(qū)的木馬。在受害者計算機上將目標憑證與其他信息區(qū)分開之后，目標憑證就被發(fā)送到Qakbot的卸放服務(wù)器，而Qakbot沒有特別針對的、從實體竊取的憑證則利用劫持的FTP帳戶上傳到合法的FTP服務(wù)器上。

Qakbot所竊取信息的絕對數(shù)量及其細節(jié)令人咋舌。每次當(dāng)受感染的用戶訪問實體的網(wǎng)站時，木馬就會將受害者計算機上傳輸?shù)臄?shù)據(jù)組織到3個獨立的文件中：系統(tǒng)信息（IP地址，DNS服務(wù)器，國家，州，城市，安裝的應(yīng)用軟件等）（見圖1 ），Seclog（HTTP/S POST請求）（見 圖 2），和受保護存儲區(qū)（保存在Internet Explorer受保護存儲區(qū)中的信息，以及自動完成的憑證，包括用戶名，密碼，以及瀏覽器歷史）（見圖 3）。這些文件按每個用戶進行組織，同時還連同全面的系統(tǒng)和用戶帳戶信息。何必為每臺受感染計算機上定義的每個用戶帳戶匯集如此廣泛的系統(tǒng)數(shù)據(jù)？所有的這些信息很可能由Qakbot的作者匯集起來以作將來之用。

Qakbot木馬迄今為止最著名的受害者是英國公共資助的醫(yī)療保健系統(tǒng)國家衛(wèi)生服務(wù)（NHS）。Qakbot感染了超過1100臺電腦，但卻沒有證據(jù)表明病人數(shù)據(jù)遭到了侵害，來自Facebook，Twitter，Hotmail，Gmail和雅虎的4 GB憑證被發(fā)現(xiàn)通過NHS受監(jiān)控的服務(wù)器傳出。

Qakbot的其他特性

Qakbot兩個脫穎而出的廣泛隱形功能尤其不同尋常：第一個是Qakbot廣泛的實驗室回避程序，旨在確保該木馬不會在安全公司的研究實驗室運行。Qakbot的開發(fā)者肯定不是為了使他們的犯罪軟件避免被實驗室環(huán)境中的研究人員研究而設(shè)計實驗室回避測試的第一個犯罪軟件作者。然而，與那些只檢查是否被運行在虛擬機上從而確定是否繼續(xù)自安裝的其他一些木馬程序不同的是， Qakbot的作者不厭其煩地設(shè)置了七（7）次測試以確保他們的木馬不會被安全研究人員進行反向工程并做詳細研究。

此外，更不尋常的是，如果Qakbot識別出它正在實驗室環(huán)境中運行，它就會特意將有關(guān)的IP地址報告給木馬卸放區(qū)：木馬將系統(tǒng)的IP地址和bot ID發(fā)送給Qakbot的卸放區(qū)（通過內(nèi)部命令getip）。這種類型的通知很可能得以執(zhí)行以將該IP地址列入黑名單，這樣木馬就不會再試圖感染同一個研究實驗室。

實驗室追蹤到的第二個不尋常的隱形功能就是Qakbot作者為壓縮木馬所竊憑證而自行開發(fā)的獨特壓縮格式--實驗室見證的第一個此類編程壯舉，因為大多數(shù)銀行木馬都只是簡單地使用流行的壓縮格式如ZIP, RAR, 和TARGZ。Qakbot作者專有的壓縮格式迫使專業(yè)安全研究人員不得不耗費大量的時間和精力編寫了一個合適的解壓縮程序。

需要著重指出的是，Qakbot木馬的分布相當(dāng)?shù)挠邢?，因此它很可能是私人所有，并且是由一個單一的網(wǎng)絡(luò)犯罪份子或團伙操縱，而不是商業(yè)化地在地下市場提供。然而，盡管該木馬的流行程度較低，但其獨特的功能卻使Qakbot成為一個具有高度針對性的虛擬竊賊。