Qakbot:“偏愛”金融企業賬戶的木馬
盡管不是新的木馬,但以其主要的可執行文件_qakbot.dll命名的Qakbot木馬,卻具有一些之前很少在金融犯罪軟件中出現的獨特屬性。對于金融企業而言,Qakbot不再只是一笑而過的事。
我們對Qakbot的最新研究表明,它的觸發列表幾乎完全包含了美國的大型金融機構,還有幾個非美國機構的實例。此外,Qakbot還是第一款“偏愛”這些金融機構企業/公司賬戶的木馬。Qakbot為什么要局限于此?為什么不擴大到公司賬戶之外,侵害普通消費者?答案就是經濟,Qakbot的目標就是騙取更多的金錢,而這要遠遠超過一般私人網上賬戶中能夠獲取的金額。雖然Qakbot并不是第一款也不是唯一一款針對這些賬戶的木馬,但它卻是唯一一款在設計上嚴格表現出有這類“偏愛”的木馬。
到底什么是Qakbot?
Qakbot木馬究竟是如何從企業銀行賬戶中獲取金錢的?目前仍在調查之中。令人驚訝的是,我們并沒有追蹤到HTML或JavaScript代碼注入,也沒有追蹤到通常用于規避保護這些高資產賬戶的雙因素認證機制的瀏覽器中間人攻擊。不過,我們懷疑Qakbot確實有某種可實時完成攻擊的模塊,否則它就不會針對企業賬戶了。
Qakbot木馬的另一個獨特屬性就是它的扮裝。 Qakbot是終極多面手,它設計成像蠕蟲一樣的傳播,每次可以感染多臺機器,同時卻又像普通的銀行木馬一樣竊取數據。Qakbot將共享網絡作為其攻擊目標,同時其把可執行文件復制到共享目錄中;而一種能讓其在企業網絡上傳播的技術,使每臺連接到此類網絡的計算機都極易受到攻擊。雖然它并不是完全原創的,但蠕蟲/木馬的結合卻是非常罕見和有效的。
Qakbot還是一個組織發電機。它是第一個在客戶端側將目標憑證從其他竊取的信息中分離出來,而不是放在卸放區的木馬。在受害者計算機上將目標憑證與其他信息區分開之后,目標憑證就被發送到Qakbot的卸放服務器,而Qakbot沒有特別針對的、從實體竊取的憑證,則利用劫持的FTP賬戶上傳到合法的FTP服務器上。
Qakbot所竊取信息的絕對數量及其細節令人咋舌。每次受感染的用戶訪問實體網站時,木馬就會將受害者計算機上傳輸的數據組織到3個獨立的文件中:系統信息(IP地址,DNS服務器,國家,州,城市,安裝的應用軟件等;見圖1 ),Seclog(HTTP/S POST請求;見圖 2),和受保護存儲區(保存在Internet Explorer受保護存儲區中的信息,以及自動完成的憑證,包括用戶名,密碼,以及瀏覽器歷史;見圖 3)。這些文件按每個用戶進行組織,同時連同全面的系統和用戶賬戶信息。何必為每臺受感染計算機上定義的每個用戶賬戶匯集如此廣泛的系統數據?所有的這些信息很可能由Qakbot的作者匯集起來以備將來之用。
Qakbot木馬迄今為止最著名的受害者是英國公共資助的醫療保健系統國家衛生服務(NHS)。Qakbot感染了超過1100臺電腦,但卻沒有證據表明病人數據遭到了侵害,來自Facebook,Twitter,Hotmail,Gmail和雅虎的4GB的個人資料被發現通過NHS受監控的服務器傳出。#p#
Qakbot的其他特性
Qakbot兩個脫穎而出的廣泛隱形功能尤其不同尋常:第一個是Qakbot廣泛的實驗室回避程序,旨在確保該木馬不會在安全公司的研究實驗室運行。Qakbot的開發者肯定不是為了使他們的犯罪軟件避免被研究人員研究而設計。然而,與那些只檢查是否運行在虛擬機上從而確定是否繼續自行安裝的其他一些木馬程序不同的是,Qakbot的作者不厭其煩地設置了七次測試以確保他們的木馬不會被安全研究人員進行反向工程并做詳細研究。
圖1 從僵尸計算機發送給Qakbot C&C 服務器的SI – 系統信息文件
圖 2: Seclog -從僵尸計算機發送給Qakbot C&C 服務器的文件
圖3 PS - 從僵尸計算機發送給Qakbot C&C 服務器的受保護存儲區文件
此外,更不尋常的是,如果Qakbot識別出它正在實驗室環境中運行,它就會特意將有關的IP地址報告給木馬卸放區:木馬將系統的IP地址和bot ID發送給Qakbot的卸放區。這種類型的通知很可能得以執行,將該IP地址列入黑名單,這樣木馬就不會再試圖感染同一個研究實驗室。
實驗室追蹤到的第二個不尋常的隱形功能,就是Qakbot作者為壓縮木馬所竊憑證而自行開發的獨特壓縮格式,實驗室見證的第一個此類編程壯舉,因為大多數銀行木馬都只是簡單地使用流行的壓縮格式如ZIP, RAR, 和TARGZ。Qakbot作者專有的壓縮格式迫使專業安全研究人員不得不耗費大量的時間和精力編寫了一個合適的解壓縮程序。#p#
每月網絡釣魚攻擊
剛剛過去的9月,RSA在世界各地共發現16274起網絡釣魚攻擊,比8月份減少了9%。減少的大部分可直接歸因于針對那些通常作為頻繁攻擊目標的組織所發起攻擊的減少。
#p#
遭受攻擊的品牌數
9月份共有178個品牌遭到了攻擊,比8月份減少了18%。這是首次在一年時間里作為攻擊目標的品牌數量下降至200個以下。9月份只有七家組織第一次遭受到網絡釣魚攻擊,這一數字相比于RSA在正常月份所見到的數量相對較低。
#p#
美國境內遭受攻擊的金融機構細分
9月份,美國信用合作社遭受了6%的網絡釣魚攻擊,要比8月份的3%高。全國性美國銀行遭受了64%的攻擊,只比8月份減少了1%。9月份是全國性的美國銀行在其金融服務業中連續7個月遭受絕大多數網絡釣魚攻擊的月份。
#p#
托管網絡釣魚攻擊最多的前十位國家
每十個網絡釣魚攻擊中就有6個在美國托管。韓國托管了7%的網絡釣魚攻擊,比8月份增加了2%。8月份托管數量處于第二位的巴西,在9月份只托管了2%的攻擊。
在過去六個月中,一直托管著大部分網絡釣魚攻擊的國家是美國,英國,德國,加拿大,澳大利亞,法國,韓國和俄羅斯。
#p#
攻擊數量最多的前十位國家
9月份,美國所遭受的網絡釣魚式攻擊數量下降了5%,英國下降了3%。與此同時,中國的網絡釣魚攻擊數量在9月份增長了3%。
在過去六個月中,遭受著網絡釣魚攻擊較多的國家是美國,英國,南非,中國,意大利,加拿大和荷蘭。
#p#
按遭受攻擊品牌劃分的前十位國家
美國,英國,印度和加拿大是9月份作為網絡釣魚攻擊目標的品牌數量最多的國家。阿拉伯聯合酋長國,連續第三個月成為遭受攻擊的品牌數量最多的國家之一。
在過去的六個月中,作為攻擊目標的品牌數量最多的國家是美國,英國,意大利,加拿大,印度,澳大利亞和南非。
【編輯推薦】
