依托電子郵件傳播的銀行木馬QakBot

來(lái)源：GDCA數(shù)安時(shí)代 發(fā)布時(shí)間：2021-09-30瀏覽：2482次

近年來(lái)，QakBot已成為全球流行的銀行木馬之一。它的主要目的是竊取銀行憑證（如登錄名、密碼等）。時(shí)至今日，QakBot仍在不斷更新和發(fā)展，不斷增加新的功能并更新其模塊，以竊取信息并使收入最大化。
QakBot惡意軟件入侵后，會(huì)監(jiān)視金融業(yè)務(wù)、自我傳播和安裝勒索軟件等，以便從受感染的企業(yè)機(jī)構(gòu)中獲得最大收益。并且，我國(guó)是該木馬的主要攻擊國(guó)，主要針對(duì)政府、金融、企業(yè)、醫(yī)療等關(guān)鍵行業(yè)。

QakBot傳播方式
QakBot主要通過垃圾郵件傳播和感染受害者的，其電子郵件附件包含Microsoft Office文檔（Word、Excel）或帶有密碼保護(hù)的壓縮文件。包含宏的文檔會(huì)提示受害者打開附件，在某些情況下，電子郵件中包含指向傳播惡意文檔的網(wǎng)頁(yè)的鏈接。它還可以通過已感染機(jī)器將QakBot有效負(fù)載傳播到受害者的機(jī)器。
QakBot或劫持可信方郵件獲取信息、植入惡意程序，讓郵件不僅隱蔽性強(qiáng)還可繞過檢測(cè)順利抵達(dá)目標(biāo)。

最近QakBot版本（2020-2021變體）的感染鏈如下：
1、用戶收到一封帶有ZIP附件的釣魚電子郵件，其中包含一份帶有嵌入宏的Office文檔或惡意鏈接。
2、用戶打開惡意附件/鏈接，并被誘導(dǎo)單擊“啟用內(nèi)容”。
3、執(zhí)行惡意宏。一些變體通過“GET”請(qǐng)求“PNG”，但該文件實(shí)際上是一個(gè)二進(jìn)制文件。
4、加載的有效負(fù)載（stager）包括加密資源模塊。其中一個(gè)加密資源具有DLL二進(jìn)制文件（加載器），該文件在運(yùn)行時(shí)解密。
5、“Stager”將“Loader”加載到內(nèi)存中，內(nèi)存在運(yùn)行時(shí)解密并運(yùn)行有效負(fù)載。
6、有效負(fù)載與C2服務(wù)器通信。

典型的QakBot具有如下功能：收集主機(jī)信息；創(chuàng)建計(jì)劃任務(wù)；證書獲取；憑證轉(zhuǎn)儲(chǔ)；密碼竊?。痪W(wǎng)絡(luò)注入；密碼暴力破解；修改注冊(cè)表；創(chuàng)建副本；注入進(jìn)程；收集電子郵件數(shù)據(jù)等。

值得注意的是，近期QakBot發(fā)送給目標(biāo)組織的網(wǎng)絡(luò)釣魚電子郵件以 COVID-19 誘餌，納稅提醒和工作招聘的形式出現(xiàn)，不僅包含惡意內(nèi)容，而且還插入了雙方之間的存檔電子郵件線程以提供信譽(yù)的空氣。Qakbot可以感染網(wǎng)絡(luò)共享文件夾和驅(qū)動(dòng)器，包括可移動(dòng)的 U 盤。如果用戶系統(tǒng)受到感染，建議斷開與互聯(lián)網(wǎng)連接以防止與服務(wù)器通信。

除QakBot銀行木馬外，還有Ursnif 銀行木馬、Emotet 銀行木馬、Gozi 銀行木馬等。俗話說(shuō)，防御的前提是了解威脅，同時(shí)必須提前做好預(yù)防策略。

使用電子郵件證書
與SSL證書一樣，電子郵件證書可以對(duì)電子郵件進(jìn)行加密傳輸，防止電子郵件內(nèi)容被他人竊取，防止信息泄露。目前，使用電子郵件證書是保護(hù)電子郵件安全最有效的解決方法之一。
使用電子郵件證書可以對(duì)電子郵件進(jìn)行數(shù)字簽名并傳輸加密，對(duì)于企業(yè)來(lái)說(shuō)，可以為用戶和員工提供身份驗(yàn)證，保護(hù)公司發(fā)送的重要文檔，通過身份驗(yàn)證確保有權(quán)訪問在線服務(wù)器的人員。
使用電子郵件證書對(duì)電子郵件進(jìn)行數(shù)字簽名并加密傳輸，可以有效防止上述情況的出現(xiàn)，電子郵件安全隱患，有效幫助企業(yè)減少損失，確保電子郵件的安全。