原文地址:https://unit42.paloaltonetworks.com/tutorial-qakbot-infection/
Overview
Qakbot也称为Qbot,是一种进行信息窃取的恶意程序。Qakbot家族的恶意软件已经活跃很多年了,并且他们有着特别的流量模式。这次的Wireshark教程回顾了近期从Qakbot感染中捕获的数据包。了解这些流量模式对于安全人员进行检测和调查Qakbot感染是十分重要的。
这里我们对Wireshark的显示列表进行了一定的调整,具体可参见:
- 定制个性化的Wireshark—改变显示列表:
定制个性化的Wireshark—改变显示列表 · 语雀
- Using Wireshark - 显示筛选表达式:
Using Wireshark - 显示筛选表达式 · 语雀
❗请注意:我们应该在Linux虚拟机中进行本次实验。
本次教程主要包括:
- Qakbot distribution methods — Qakbot传播原理
- Initial zip archive from link in an malspam — 垃圾邮件中的初始zip链接
- Windows executable for Qakbot — Qakbot的Windows可执行文件
- Post-infection HTTPS activity — Qakbot的Windows可执行文件
- Other post-infection traffic — 感染后的其他类型流量
本次教程的PCAP文件下载地址
Qakbot Distribution Methods
一般情况下,Qakbot通过恶意垃圾邮件进行传播,但是最近在2019年11月我们也注意到了通过exploit kit进行传播的案例。如从2019年3月所报道的案例,在一些情况下Qakbot是由像Emotet等恶意软件引起的后续感染。
amber:一文搞懂Exploit、Exploit Kit和Malware的区别
最近Qakbot基于恶意邮件的传播感染链如图2所示。
Initial Zip Archive from Link in Malspam
近期通过恶意垃圾邮件传播的Qakbot使用模仿合法邮件地址的虚假邮件链接,如图3所示。
这些电子邮件的URL以一连串短数字加上.zip 结尾。下表展示了URLhaus和Twitter报道的基于垃圾邮件传播的Qakbot中的URLs:
- 2019-12-27hxxps://prajoon.000webhostapp[.]com/wp-content/uploads/2019/12/last/033/033.zip
- 2019-12-27hxxps://psi-uae[.]com/wp-content/uploads/2019/12/last/870853.zip
- 2019-12-27hxxps://re365[.]com/wp-content/uploads/2019/12/last/85944289/85944289.zip
- 2019-12-27hxxps://liputanforex.web[.]id/wp-content/uploads/2019/12/last/794/794.zip
- 2020-01-06hxxp://http://eps.icothanglong.edu[.]vn/forward/13078.zip
- 2020-01-22hxxp://hitechrobo[.]com/wp-content/uploads/2020/01/ahead/84296848/84296848.zip
- 2020-01-22hxxp://http://faithoasis.000webhostapp.com/wp-content/uploads/2020/01/ahead/550889.zip
- 2020-01-27hxxps://madisonclubbar[.]com/fast/invoice049740.zip
- 2020-01-29hxxp://zhinengbao[.]wang/wp-content/uploads/2020/01/lane/00571.zip
- 2020-01-29hxxp://bhatner[.]com/wp-content/uploads/2020/01/ahead/9312.zip
- 2020-02-03hxxp://santedeplus[.]info/wp-content/uploads/2020/02/ending/1582820/1582820.zip
如图4所示,在我们的数据包中,你可以设置Wireshark的过滤选项为 http.request.uri contains .zip 来观察初始zip归档文件的HTTP请求。
如图5和图6所示,追踪TCP流以确定这是一个zip文件,然后如图7所示,尝试从pcap中导出zip文件。
在大部分情况下,通过 File → Export Objects → HTTP 就可以导出我们想要的zip文件。不幸地是,如图8所示,我们不能简单地导出该名为 9312.zip 的文件,因为它在HTTP导出对象列表中被分成了数百个更小的部分。
幸运的是,我们可以从TCP流中导出数据并通过十六进制编辑器修改二进制文件去除任何http响应头。使用以下步骤从这个pcap中导出文件:
- 追踪 9312.zip 的TCP流或HTTP流
- 在TCP流窗口中只显示响应流量
- 更改“Show and save data as”选项,ASCII改为Raw
- 将数据保存为二进制文件(如9312.zip.bin)
- 在十六进制编辑器中打开二进制文件,并删除zip归档文件的前两个字节以去除HTTP请求头(以ASCII格式显示为PK)
- 将文件保存为zip文件(如9312.zip)
- 检查该文件,以确保它是zip文件
图9-14展示了这一个过程。
我们可以通过公共沙箱对提取的VBS文件进行分析,分析结果显示它生成了下一个与Qakbot感染相关的URL:一个为Qakbot返回Windows可执行文件的URL。
Windows Executable for Qakbot
这些提取的VBS文件生成了返回Windows可执行文件的URL。自从2019年12月,与Qakbot可执行文件相关的URL都以 44444.png 或 444444.png 结尾。下表是作者使用他们公司的威胁情报工具——AutoFocus发现的与Qakbot相关的URL:
- hxxp://centre-de-conduite-roannais[.]com/wp-content/uploads/2019/12/last/444444.pnghxxp://newsinside[.]info/wp-content/uploads/2020/01/forward/44444.png
- hxxp://iike.xolva[.]com/wp-content/themes/keenshot/fast/444444.pnghxxp://deccolab[.]com/fast/444444.png
- hxxp://myrestaurant.coupoly[.]com/wp-content/uploads/2020/01/along/444444.png
- hxxp://alphaenergyeng[.]com/wp-content/uploads/2020/01/ahead/444444.png
- hxxp://claramohammedschoolstl[.]org/wp-content/uploads/2020/01/upwards/444444.pnghxxp://creationzerodechet[.]com/choice/444444.png
- hxxp://productsphotostudio[.]com/wp-content/uploads/2020/01/lane/444444.png
- hxxp://sophistproduction[.]com/wp-content/uploads/2020/01/choice/444444.png
- hxxp://uofnpress[.]ch/wp-content/uploads/2020/01/side/444444.png
- hxxp://csrkanjiza[.]rs/wp-content/uploads/2020/02/ending/444444.png
在我们的PCAP中,可以通过设置过滤选项为 http.request.uri contains .png 去寻找Qakbot可执行文件的HTTP GET请求,如图15所示。
导出并检查相关文件,如图16-17所示。
Post-infection HTTPS Activity
使用basic过滤选项可以帮助你快速浏览pcap中的web浏览。向下滚动到返回了Qakbot可执行文件的HTTP GET请求alphaenergyeng[.]com之后。你可以发现几个与68.1.115[.]106相关的HTTPS或SSL/TLS流量,但却没有显示域名,如图18所示。
在Qakbot感染期间,它的通信流量具有不同寻常的证书颁发者数据。使用下面的Wireshark过滤选项我们可以检查Qakbot的证书发行机构数据:
Ip.addr eq 68.1.115.106 and ssl.handshake.type eq 11
流量中的localityName、organizationName和commonName字段内容非常罕见,通常无法在合法的HTTPS、SSL或TLS流量中见到:
- id-at-countryName=ES
- id-at-stateOrProvinceName=IA
- id-at-localityName=Uorh Ofwa
- id-at-organizationName=Coejdut Mavmtko Qxyemk Dxsjie LLC.
- id-at-commonName=gaevietovp.mobi
Other Post-infection Traffic
我们的pcap包含了其他与Qakbot感染相关的活动,每一个活动单独来看可能并不是恶意的,但结合之前的发现,我们可以观察到Qakbot感染的全貌。
Qakbot感染的另一个指标是到cdn.speedof[.]me的HTTPS流量。speedof[.]me是一个网联网速度测试服务的合法域名,但在Qakbot感染期间我们经常见到cdn.speedof[.]me的通信流量,如图20所示。
Qakbot还可以在受感染的windows主机上打开所有浏览器的窗口。在该沙箱分析的大约13分5秒,Qakbot先是在Windows 7主机上打开Chrome,然后打开了Firefox,然后打开了Internet Explorer。分析结果同时表明Qakbot产生了前往下列URL的流量:
- hxxp://store.nvprivateoffice[.]com/redir_chrome.html
- hxxp://store.nvprivateoffice[.]com/redir_ff.html
- hxxp://store.nvprivateoffice[.]com/redir_ie.html
nvprivateoffice[.]com在2012年就通过GoDaddy注册了,并且store.nvprivateoffice[.]com显示了Fedora服务器上ngnix默认的web页面。
本教程的pcap文件来自Windows 10主机,并没有安装Chrome或Firefox,同样地,Qakbot产生的URL是hxxp://store.nvprivateoffice[.]com/redir_ie.html,我们可以设置如下的过滤条件:
http.request.full_uri contains store.nvprivateoffice
追踪以redir_ie.html结尾的两个TCP流,如图22-23所示。
最后,产生自受感染主机的pcap文件也包含了与邮件相关的TCP流量,如SMTP、IMAP和POP3。设置如下的过滤选项:
tcp.flags eq 0x0002 and !(tcp.port eq 80) and !(tcp.port eq 443)
图25显示了到不同电子邮件协议常用的各种端口(如25、110,143、465、587、993和995)的TCP连接。结果的前两行显示了到TCP端口65400的流量,但是查看相关的TCP流表明这也是与电子邮件相关的流量。
使用以下Wireshark过滤器可以更好地了解来自受感染主机的电子邮件相关流量,如图26所示:
smtp or imap or pop
我们可以追踪一些TCP流来更好地了解这种类型的电子邮件流量。我们通常不会看到从Windows客户端到公共IP地址的未加密的电子邮件流量。与其他指标一起,这个smtp或imap或pop过滤器可能会显示Qakbot活动。
Conclusion
本教程主要讲述了检查Windows主机是否感染了Qakbot恶意软件的技巧。