WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Mã độc Qakbot và Emotet nhắm mục tiêu vào người dùng doanh nghiệp
Trojan đánh cắp thông tin Qakbot và Emotet đã hoạt động trở lại trong vài tháng qua và đang nhắm mục tiêu đến các doanh nghiệp và nhiều tổ chức khác.
Với hành vi tương tự nhau, hai dòng mã độc này thường tập trung vào các cá nhân sử dụng ngân hàng trực tuyến, nhưng kẻ khai thác dường như đang quan tâm đến các luồng doanh thu mới. Họ đã mở rộng khả năng lây lan của Trojan để tăng cơ hội lây nhiễm trong các mạng công ty.
Sau nhiều năm, tác giả của Qakbot và Emotet tập trung vào cải tiến mã để tránh bị phát hiện, nằm vùng lâu hơn và tăng cơ hội lây lan sang các nạn nhân tiềm năng khác. Theo Microsoft, hai dòng mã độc này có nhiều điểm tương đồng.
Cả hai Trojan sử dụng dropper để lây nhiễm (một số biến thể Quakbot gần đây được lan truyền thông qua bộ công cụ khai thác), với dropper chịu trách nhiệm tiêm mã vào explorer.exe, thả payload vào các thư mục ngẫu nhiên, và đảm bảo nằm vùng ở đó. Hai dòng mã độc này có thể gửi thông tin được mã hóa tới máy chủ C&C.
Cả Qakbot và Emotet đều được thiết kế để ăn cắp thông tin của nạn nhân và có thể thực hiện bằng cách ghi lại các thao tác phím, bằng cách liên kết các trình duyệt và các API liên quan đến mạng, và ăn cắp cookie và các chứng chỉ.
Hai Trojan này cũng có khả năng lây lan sang các mạng chia sẻ và ổ đĩa có thể truy cập được, bao gồm các ổ đĩa di động như USB. Chúng cũng có thể lây lan thông qua các chia sẻ admin mặc định và các thư mục chia sẻ và có thể tấn công brute-force sử dụng các tài khoản Active Directory và có thể sử dụng Server Message Block (SMB) để lây nhiễm sang các máy khác.
Các doanh nghiệp có thể thực hiện một số biện phát để giảm thiểu khả năng lây nhiễm và loại bỏ các nguy cơ như cách ly máy bị lây nhiễm cho đến khi chúng được dọn dẹp sạch sẽ và ngừng chia sẻ các thư mục có dấu hiệu lây nhiễm. Sau đó, khóa thư mục Scheduled Tasks và vô hiệu chức năng autorun trên các máy bị lây nhiễm. Tiếp theo là loại bỏ Qakbot và Emotet khỏi các hệ thống bị nhiễm, cũng như các phần mềm độc hại liên quan khác đi kèm.
Cuối cùng, các doanh nghiệp nên xác định cách thức lây nhiễm ban đầu và thực hiện các bước để giải quyết, cũng như cho phép bảo vệ thời gian thực trên tất cả các máy trong mạng để ngăn ngừa lây nhiễm trong tương lai. Thiết lập các chính sách email để chặn các tin nhắn có thể mang malware, bảo vệ thông tin xác thực tên miền và đào tạo nhân viên về các mối đe dọa như vậy cũng sẽ giúp ngăn ngừa lây nhiễm trong tương lai.
Với hành vi tương tự nhau, hai dòng mã độc này thường tập trung vào các cá nhân sử dụng ngân hàng trực tuyến, nhưng kẻ khai thác dường như đang quan tâm đến các luồng doanh thu mới. Họ đã mở rộng khả năng lây lan của Trojan để tăng cơ hội lây nhiễm trong các mạng công ty.
Sau nhiều năm, tác giả của Qakbot và Emotet tập trung vào cải tiến mã để tránh bị phát hiện, nằm vùng lâu hơn và tăng cơ hội lây lan sang các nạn nhân tiềm năng khác. Theo Microsoft, hai dòng mã độc này có nhiều điểm tương đồng.
Cả hai Trojan sử dụng dropper để lây nhiễm (một số biến thể Quakbot gần đây được lan truyền thông qua bộ công cụ khai thác), với dropper chịu trách nhiệm tiêm mã vào explorer.exe, thả payload vào các thư mục ngẫu nhiên, và đảm bảo nằm vùng ở đó. Hai dòng mã độc này có thể gửi thông tin được mã hóa tới máy chủ C&C.
Cả Qakbot và Emotet đều được thiết kế để ăn cắp thông tin của nạn nhân và có thể thực hiện bằng cách ghi lại các thao tác phím, bằng cách liên kết các trình duyệt và các API liên quan đến mạng, và ăn cắp cookie và các chứng chỉ.
Hai Trojan này cũng có khả năng lây lan sang các mạng chia sẻ và ổ đĩa có thể truy cập được, bao gồm các ổ đĩa di động như USB. Chúng cũng có thể lây lan thông qua các chia sẻ admin mặc định và các thư mục chia sẻ và có thể tấn công brute-force sử dụng các tài khoản Active Directory và có thể sử dụng Server Message Block (SMB) để lây nhiễm sang các máy khác.
Các doanh nghiệp có thể thực hiện một số biện phát để giảm thiểu khả năng lây nhiễm và loại bỏ các nguy cơ như cách ly máy bị lây nhiễm cho đến khi chúng được dọn dẹp sạch sẽ và ngừng chia sẻ các thư mục có dấu hiệu lây nhiễm. Sau đó, khóa thư mục Scheduled Tasks và vô hiệu chức năng autorun trên các máy bị lây nhiễm. Tiếp theo là loại bỏ Qakbot và Emotet khỏi các hệ thống bị nhiễm, cũng như các phần mềm độc hại liên quan khác đi kèm.
Cuối cùng, các doanh nghiệp nên xác định cách thức lây nhiễm ban đầu và thực hiện các bước để giải quyết, cũng như cho phép bảo vệ thời gian thực trên tất cả các máy trong mạng để ngăn ngừa lây nhiễm trong tương lai. Thiết lập các chính sách email để chặn các tin nhắn có thể mang malware, bảo vệ thông tin xác thực tên miền và đào tạo nhân viên về các mối đe dọa như vậy cũng sẽ giúp ngăn ngừa lây nhiễm trong tương lai.
Theo SecurityWeek