Qakbot (он же Pinkslipbot, Qbot) сохраняется в качестве банковского трояна - а затем мощной сети распространения вредоносного/выкупного ПО - уже более десяти лет, его истоки восходят к 2007 году. Как ботнет для выкупа, Qakbot обычно распространяется через перехват электронной почты и социальную инженерию, распространяя вредоносные файлы, которые заражают узлы Windows. Этот ботнет адаптировал методы, позволяющие скрыть свою инфраструктуру в IP-пространстве и зараженных веб-серверах, а не прятаться в сети размещенных виртуальных частных серверов (VPS).
Qakbot Trojan
Qakbot меняет способы первоначального проникновения, чтобы опередить ужесточение политики безопасности и эволюционирующие средства защиты. Используя глобальный обзор Black Lotus Labs, исследователи отследили последние кампании Qakbot, чтобы проследить структуру сети, и получили ключевые сведения о методах, которые поддерживают репутацию Qakbot как уклончивой и упорной угрозы.
В 2023 году Qakbot продемонстрировал динамические операционные методы - включая новые механизмы доставки вредоносного ПО и адаптируемую инфраструктуру командования и управления (C2) - с учетом ужесточения методов обеспечения безопасности, скорости адаптации защитников к новым вариациям и трудностей, связанных со скрытием C2 в жилых прокси-серверах. Например, Black Lotus Labs обнаружила, что 25% С2 Qakbot активны только в течение одного дня. Исследователи заметили, что операторы Qakbot склонны сокращать или прекращать свои спам-атаки на длительные периоды времени на сезонной основе, возвращаясь к активности с измененным набором инструментов. Это похоже на то, что было зафиксировано в последней половине 2022 года, когда летние месяцы были заметно спокойными, а по мере завершения года активность возросла.
Несколько исследователей впоследствии обсуждали эволюцию Qakbot с точки зрения первоначального доступа и обнаружения конечных точек. Хотя Black Lotus Labs отслеживала Qakbot в течение многих лет, в этом блоге исследователи демонстрируют - через призму собственной телеметрии Lumen - как недавняя эволюция ботнета находит успех, и определяем ключевые особенности сети агента.
Анализ начался с составления графика успеха Qakbot в кампаниях по рассылке спама, которые начались в конце декабря 2022 года. В начале 2022 года угрожающие субъекты использовали макросы в документах Microsoft Office, а затем переключились в ответ на заявление Microsoft о том, что она будет блокировать макросы XL4 и VBA по умолчанию для пользователей Office. В этом году ботнет получил первоначальный доступ, быстро изменив типы файлов, доставляемых в ходе социально ориентированных кампаний по взлому электронной почты. Он поддерживал преимущество злоумышленников, используя широкий спектр вредоносных файлов OneNote, методы уклонения от Mark of the Web и контрабанды HTML. На диаграмме ниже показано, как Black Lotus Labs, используя телеметрию с глобальной IP-магистрали Lumen, проследила объем ботов Qakbot с течением времени, соотнеся его с техниками проникновения, которые были характерны для каждого из них.
Самые высокие пики привлечения ботов, указывающие на вероятные успешные спам-кампании, во время январской и февральской кампаний 2023 года OneNote, а затем в мартовской кампании HTML Smuggling. Вполне вероятно, что эксплуатация на основе OneNote стала менее эффективной для получения новых ботов из-за легкости, с которой защитники могут блокировать OneNote на почтовых серверах.
Субъекты угроз предпочитают прятать свои C2 во взломанных веб-серверах и хостах, существующих в жилом IP-пространстве - по сути, это адреса в диапазоне динамических IP-адресов, выданных провайдером, - вместо того, чтобы использовать размещенные VPS. Устойчивость таких C2 может быть трудно поддерживать в течение долгого времени, исследователи заметили, что срок жизни C2 был коротким, однако они постоянно пополняли свои ряды. За определенный семидневный период мы могли наблюдать появление 70-90 новых C2 во время цикла рассылки спама ботнетом, как показано на графике ниже:
Изучая продолжительность жизни отдельных ботов и C2, исследователи обнаружили, что операторам ботнетов удается поддерживать их численность. После первого дня заражения бот передает около половины всех данных, которые он когда-либо отправит на C2. К седьмому дню это число приближается к 90%. Это говорит о том, что после заражения жертвы операторы быстро получают все, что им нужно, загружая дополнительные вредоносные программы по своему усмотрению. Затем субъекты могут использовать бота в других неблаговидных целях или продать его другим субъектам.
Это включает, но не ограничивается, переоборудованием для использования в качестве C2 в ботнете, что является ключевым фактором в способности Qakbot ускользать от сетевой защиты и поддерживать устойчивость. Использование Qakbot в качестве C2 ботов снижает эффективность статической блокировки на основе IOC, поскольку адреса этих контрольных точек постоянно меняются. Это не первый случай, когда крупная бот-сеть преобразует ботов в C2.
Хотя использование жилых IP-диапазонов позволяет Qakbot противостоять мерам смягчения со стороны провайдеров VPS и обходить некоторые блокировки брандмауэров на основе поведения, инфекции на жилых IP-адресах по своей природе более уязвимы к проблемам с пропускной способностью и к уничтожению защитниками и обновлениями системы. Qakbot сохраняет устойчивость, перепрофилируя машины жертв в C2. Доступ к большому пулу ботов для преобразования в C2 очень важен - по наблюдениям Black Lotus Labs, более 25% C2 не остаются активными более одного дня, а 50% не остаются активными более недели. Исследователификсировали, что Qakbot продолжает пополнять запасы C2 за счет ботов, которые впоследствии превращаются в C2.
Как отмечает Team Cymru, узлы C2 обмениваются данными с вышестоящими узлами C2 уровня 2, размещенными на VPS-провайдерах, часто недоступных для нероссийских правоохранительных органов. Помимо C2 и Tier 2 C2, Black Lotus Labs обнаружила в архитектуре Qakbot отдельный сервер - вероятно, сервер обратного соединения.
Исследователи обнаружили, что через несколько часов после заражения ботов значительное их количество начинает обращаться к этому серверу backconnect. Этот сервер взаимодействует только с ботами, но не с архитектурой более высокого уровня. Хотя его полная функциональность в настоящее время неизвестна, часто можно видеть, как он превращает ботов в прокси-серверы, которые можно использовать или продавать для различных целей.
Исследователи наблюдаем и другое интересное поведение ботов после взаимодействия с этим сервером. Нередко можно увидеть, как бот подключается к серверу backconnect, а через день или два связывается с сервером C2 уровня 2. Есть боты, которые связываются с несколькими различными C2 уровня 1 и одновременно общаются с одним или несколькими C2 уровня 2. В обоих случаях исследователи считают, что перед нами боты, которые были преобразованы в C2 и могут сохранять функциональность бота. Ниже показаны связи между ботами и серверами.
Black Lotus Labs использует эту видимость для обнаружения и отслеживания новых узлов C2 Qakbot часто до того, как они будут использованы в кампаниях и потенциально предупреждены средствами обнаружения конечных точек. Когда Qakbot прекращает рассылку спама, он часто не прекращает преобразовывать ботов в C2, что означает, что Black Lotus Labs может иметь предварительную информацию о 35% подтвержденных C2 Qakbot. Например, исследователи отметили отсутствие спама с 24 по 30 марта. Даже когда боты не рассылают спам, телеметрия Black Lotus Labs позволяет нам искать основные поведенческие характеристики известных C2. Затем можем проследить, какой процент новых C2 демонстрирует эти характеристики, но еще не связан с какой-либо предыдущей активностью кампании.
Qakbot упорствует, применяя подход, основанный на полевых условиях, для создания и развития своей архитектуры. Хотя он не полагается на численность, как Emotet, он демонстрирует техническое мастерство, варьируя методы первоначального доступа и поддерживая устойчивую, но уклончивую архитектуру жилого C2.
Indicators of Compromise
IPv4
- 188.127.231.177
- 62.204.41.187
- 62.204.41.188
- 94.103.85.86