Sophos發布Qakbot殭尸網絡研究 透過劫持電郵傳播

Sophos今日發布一篇對Qakbot殭尸網絡的深入研究，解釋為什么它對企業來說變得更先進和更危險。Sophos指出，殭尸網絡隨后會下載一系列額外的惡意模塊，以增強核心殭尸網絡的功能。
在這篇《Qakbot將自己插入電子郵件對話中》文章，Sophos研究人員詳細介紹最近的Qakbot殭尸網絡如何透過劫持電子郵件對話來進行傳播，并會從遭感染的計算機收集各種設定信息，包括用戶帳戶和權限、已安裝軟件、正在運作的服務等。
Qakbot的惡意軟件程序代碼具有非常規的加密功能，還會用于隱藏通訊內容。Sophos對其惡意模塊進行解密，并對殭尸網絡的命令和控制系統進行譯碼，以解讀Qakbot如何接收指令。
Sophos首席威脅研究員Andrew Brandt表示：「Qakbot是一種模塊化且多用途的殭尸網絡，它透過電子郵件傳播，可扮演成惡意軟件的傳遞網絡，所以越來越受到攻擊者歡迎，例如Trickbot和Emotet。Sophos對Qakbot的深入分析揭露了擷取受害計算機設定數據的細節、殭尸網絡處理復雜命令序列的能力，以及一系列能擴展殭尸網絡核心引擎功能的裝載。以為『商品型』殭尸網絡只是煩人的日子早已遠去。」
Andrew Brandt進一步表示：「安全部門需要認真處理網絡上存在的Qakbot，并且調查和刪除每一個痕跡。殭尸網絡感染是勒索軟件攻擊的已知前兆。不僅是因為殭尸網絡可以傳播勒索軟件，更因殭尸網絡開發者會出售或出租這些遭破壞網絡的訪問權限。例如，Sophos就遇到過將Cobalt Strike信標直接傳送到遭感染主機的Qakbot樣本。一旦Qakbot操作者想要利用這些遭感染的計算機，他們就可以將這些信目標訪問權限轉讓、出租或出售給付費的客戶。」
Qakbot殭尸網絡將惡意郵件插入到現有的電子郵件討論串中。插入的電子郵件包括一句簡短的句子和一個下載包含惡意Excel電子表格的zip檔案鏈接。使用者會被要求「打開內容」以觸發感染鏈。一旦殭尸網絡感染新目標，它會進行詳細的設定掃描，將數據分享到命令和控制服務器，然后下載其他惡意模塊。
Qakbot殭尸網絡會以動態鏈接庫（DLL）的形式下載至少三種不同的惡意裝載。據Sophos稱，這些DLL裝載將為殭尸網絡提供更多種功能。
這些裝載會被插入瀏覽器并置入一個將密碼竊取程序代碼插入網頁的模塊；一個執行網絡掃描的模塊，收集遭感染計算機鄰近其他計算機的數據；一個會識別十幾個SMTP電子郵件服務器地址，然后嘗試聯機到每個服務器并發送垃圾郵件的模塊。
Sophos建議使用者謹慎處理不尋常或預期之外的電子郵件，即使這些郵件看似是對現有電子郵件討論的回復。在Sophos調查的Qakbot活動中，一個收件者可視為潛在危險的信號是在URL中使用了拉丁詞組。
安全部門應檢查現有安全技術提供的行為保護是否可以防止Qakbot感染。如果遭感染的使用者嘗試聯機到已知的命令和控制地址或網域，網絡設備也會通報系統管理員。 Sophos端點產品如Intercept X，可透過偵測攻擊者的動作和行為來保護使用者。