近日,BAESystems的安全人員發(fā)表了一篇關于Qbot網(wǎng)絡感知蠕蟲回歸的調(diào)查報告,指出已經(jīng)感染了5.4萬臺計算機。
百科
Qbot蠕蟲,也叫Qakbot,并不是新出現(xiàn)的惡意軟件。最早在2009年被發(fā)現(xiàn),該惡意軟件之所以持續(xù)發(fā)展,是因為其源代碼已經(jīng)被網(wǎng)絡罪犯獲取,并不斷改進以逃避檢測。從BAE Systems的發(fā)現(xiàn)來看,他們似乎已經(jīng)成功了。
惡意軟件描述
85%的感染系統(tǒng)位于美國,尤其學術、政府和醫(yī)療等行業(yè)網(wǎng)絡受到嚴重打擊。例如,今年年初,皇家墨爾本醫(yī)院(Royal Melbourne Hospital)的病理部門受到嚴重影響。
典型的Qbot通過控制網(wǎng)絡、托管Rig Exploit Kit進行傳播。當用戶使用受影響的計算機訪問惡意網(wǎng)站時,一個用于提供滲透代碼的混淆腳本會靜默執(zhí)行,并在Windows PC中安裝該惡意軟件。
這是Qbot傳播的通用方式,但是攻擊者也通過惡意郵件鎖定目標公司。
BAESystems報告指出,反病毒產(chǎn)品對Qbot的影響受到很多因素的限制。Qbot通過連接Command &Control中心獲取更新,使用變異的外觀,自身完成重新編譯和加密,使用基于服務器的多態(tài)性來逃避檢測。
“Qbot使用的基于服務器的多態(tài)性可以很大程度地限制AV檢測,通常55個 AV 廠商,只有幾個著名的廠商可以可靠地檢測Qbot——或者更具體說是檢測它的外部加密器。當然,幾天過后,大部分AV產(chǎn)品都可以檢測該相同的樣本,但是Qbot通常一至兩天會自動更新一次,也就是說,它可以潛伏很長時間不被發(fā)現(xiàn)。”
此外,該惡意軟件還可以檢測其是否運行在虛擬機沙箱中,改變其行為避免被發(fā)現(xiàn)。
Qbot主要是用于獲取密碼和其他用戶證書。它會試圖從Windows’Credential Store中抓取密碼,泄露網(wǎng)絡登錄情況,獲取Outlook、Windows Live Messenger、Remote Desktop和Gmail Messenger密碼。另外,Qbot還會試圖訪問IE的密碼管理器,竊取緩存的用戶名和密碼,借助這些信息和從網(wǎng)絡流量中獲取的證書,攻擊者可以進入FTP服務器,使用滲透代碼工具包感染其他網(wǎng)站,來傳播該惡意軟件。
Qbot中還存在一個后門功能,攻擊者可以獲取敏感數(shù)據(jù)和知識產(chǎn)權,破壞基礎設施,向組織中植入更復雜的惡意軟件。
Qbot正在逐漸演變成更加致命的威脅,但是它有時仍然不能幸免于攻擊者自己犯的錯誤。當它感染一小部分過期的個人電腦時,會導致這些電腦崩潰——也就會通知目標阻止其網(wǎng)絡中存在問題,這可能會導致該惡意軟件過早暴露。
京公網(wǎng)安備 11010502049343號