依托電子郵件傳播的銀行木馬QakBot

來源：GDCA數(shù)安時代 發(fā)布時間：2021-09-30瀏覽：2491次

近年來，QakBot已成為全球流行的銀行木馬之一。它的主要目的是竊取銀行憑證（如登錄名、密碼等）。時至今日，QakBot仍在不斷更新和發(fā)展，不斷增加新的功能并更新其模塊，以竊取信息并使收入最大化。
QakBot惡意軟件入侵后，會監(jiān)視金融業(yè)務(wù)、自我傳播和安裝勒索軟件等，以便從受感染的企業(yè)機構(gòu)中獲得最大收益。并且，我國是該木馬的主要攻擊國，主要針對政府、金融、企業(yè)、醫(yī)療等關(guān)鍵行業(yè)。

QakBot傳播方式
QakBot主要通過垃圾郵件傳播和感染受害者的，其電子郵件附件包含Microsoft Office文檔（Word、Excel）或帶有密碼保護的壓縮文件。包含宏的文檔會提示受害者打開附件，在某些情況下，電子郵件中包含指向傳播惡意文檔的網(wǎng)頁的鏈接。它還可以通過已感染機器將QakBot有效負載傳播到受害者的機器。
QakBot或劫持可信方郵件獲取信息、植入惡意程序，讓郵件不僅隱蔽性強還可繞過檢測順利抵達目標。

最近QakBot版本（2020-2021變體）的感染鏈如下：
1、用戶收到一封帶有ZIP附件的釣魚電子郵件，其中包含一份帶有嵌入宏的Office文檔或惡意鏈接。
2、用戶打開惡意附件/鏈接，并被誘導單擊“啟用內(nèi)容”。
3、執(zhí)行惡意宏。一些變體通過“GET”請求“PNG”，但該文件實際上是一個二進制文件。
4、加載的有效負載（stager）包括加密資源模塊。其中一個加密資源具有DLL二進制文件（加載器），該文件在運行時解密。
5、“Stager”將“Loader”加載到內(nèi)存中，內(nèi)存在運行時解密并運行有效負載。
6、有效負載與C2服務(wù)器通信。

典型的QakBot具有如下功能：收集主機信息；創(chuàng)建計劃任務(wù)；證書獲??；憑證轉(zhuǎn)儲；密碼竊??；網(wǎng)絡(luò)注入；密碼暴力破解；修改注冊表；創(chuàng)建副本；注入進程；收集電子郵件數(shù)據(jù)等。

值得注意的是，近期QakBot發(fā)送給目標組織的網(wǎng)絡(luò)釣魚電子郵件以 COVID-19 誘餌，納稅提醒和工作招聘的形式出現(xiàn)，不僅包含惡意內(nèi)容，而且還插入了雙方之間的存檔電子郵件線程以提供信譽的空氣。Qakbot可以感染網(wǎng)絡(luò)共享文件夾和驅(qū)動器，包括可移動的 U 盤。如果用戶系統(tǒng)受到感染，建議斷開與互聯(lián)網(wǎng)連接以防止與服務(wù)器通信。

除QakBot銀行木馬外，還有Ursnif 銀行木馬、Emotet 銀行木馬、Gozi 銀行木馬等。俗話說，防御的前提是了解威脅，同時必須提前做好預(yù)防策略。

使用電子郵件證書
與SSL證書一樣，電子郵件證書可以對電子郵件進行加密傳輸，防止電子郵件內(nèi)容被他人竊取，防止信息泄露。目前，使用電子郵件證書是保護電子郵件安全最有效的解決方法之一。
使用電子郵件證書可以對電子郵件進行數(shù)字簽名并傳輸加密，對于企業(yè)來說，可以為用戶和員工提供身份驗證，保護公司發(fā)送的重要文檔，通過身份驗證確保有權(quán)訪問在線服務(wù)器的人員。
使用電子郵件證書對電子郵件進行數(shù)字簽名并加密傳輸，可以有效防止上述情況的出現(xiàn)，電子郵件安全隱患，有效幫助企業(yè)減少損失，確保電子郵件的安全。