WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Phiên bản cải tiến của mã độc Qbot tấn công các tổ chức công
Các nhà nghiên cứu tại BAE Systems vừa quan sát thấy một phiên bản cải tiến của mã độc Qbot trong các cuộc tấn công nhằm vào các cơ sở công tại Mỹ và các nước khác.
Mã độc Qbot, còn được gọi là Qakbot, bắt đầu xuất hiện từ năm 2009. Qbot, với các khả năng của backdoor và có thể tự động lây lan trong một mạng, được thiết kế chủ yếu để giúp tin tặc đánh cắp thông tin từ hệ thống bị lây nhiễm.
Phiên bản Qbot cải tiến được phát hiện đầu năm 2016 khi lây nhiễm hơn 500 máy tính của một tổ chức và làm gián đoạn hoạt động của các hệ thống quan trọng.
Dựa trên thông tin từ số liệu thống kê tên miền và máy chủ của kẻ tấn công, các chuyên gia xác định rằng, trong hai tuần đầu tháng 2, hơn 54.000 máy tính từ khắp nơi trên thế giới đã trở thành một phần mạng botnet. 85% nạn nhân ở Hoa Kỳ, sau đó là Canada và Anh.
Theo BAE Systems, dường như tội phạm mạng chủ yếu sử dụng Qbot để nhắm vào các tổ chức công như sở cảnh sát, bệnh viện và các trường đại học. Phần lớn nạn nhân trong lĩnh vực giáo dục, tiếp theo là chính phủ và y tế.
Trong các cuộc tấn công mà các nhà nghiên cứu quan sát được, tội phạm mạng phát tán Qbot qua các trang web bị tổn thương dẫn đến bị lây nhiễm bộ công cụ khai thác RIG exploit kit.
Những kẻ phát triển mã độc đã thực hiện một số cải tiến để tăng cơ hội không bị phát hiện của mã độc và chống lại các nỗ lực phân tích. Các chuyên gia phát hiện Qbot tự bảo vệ bằng một bộ mã hóa thời gian chạy khá tinh vi, với các API và chuỗi được giữ trong khối mã hóa và chỉ giải mã khi cần thiết. Điều này đảm bảo các chuỗi quan trọng không thể dễ dàng bị truy cập nếu ai đó dumb bộ nhớ của máy tính bị lây nhiễm.
Để tránh chạy trong sandbox và máy ảo, mã độc kiểm tra sự hiện diện của các chuỗi khác nhau thường liên kết với môi trường ảo.
Kẻ xấu cũng tận dụng cơ chế đa hình dựa trên máy chủ để giúp mã độc tránh bị phát hiện.
“Cơ chế đa hình dựa trên máy chủ cho phép Qbot tránh bị phát hiện bởi các phần mềm diệt virus (AV). Trong số 55 nhà cung cấp AV, chỉ có một vài AV là có thể phát hiện Qbot - cụ thể là phát hiện bộ mã hóa bên ngoài của Qbot”, BAE Systems cho biết. “Sau một vài ngày, mẫu tương tự sẽ bị phát hiện bởi hơn một nửa các AV. Tuy nhiên, bot này thường tự cập nhật lên phiên bản mới trong một hoặc hai ngày, và vì thế vẫn không bị phát hiện trong thời gian dài”.
Mã độc di chuyển theo chiều ngang trong một mạng bị lây nhiễm sử dụng thư mục chia sẻ mặc định. Nếu các điểm chia sẻ này có mật khẩu bảo vệ, Qbot sẽ cố truy cập qua tấn công brute-force.
Ngoài ra, mã độc này lây lan bằng cách đánh cắp mạng và các thông tin hữu ích khác từ Windows Credential Manager và trình quản lý mật khẩu trong Internet Explorer.
Theo SecurityWeek
Mã độc Qbot, còn được gọi là Qakbot, bắt đầu xuất hiện từ năm 2009. Qbot, với các khả năng của backdoor và có thể tự động lây lan trong một mạng, được thiết kế chủ yếu để giúp tin tặc đánh cắp thông tin từ hệ thống bị lây nhiễm.
Phiên bản Qbot cải tiến được phát hiện đầu năm 2016 khi lây nhiễm hơn 500 máy tính của một tổ chức và làm gián đoạn hoạt động của các hệ thống quan trọng.
Dựa trên thông tin từ số liệu thống kê tên miền và máy chủ của kẻ tấn công, các chuyên gia xác định rằng, trong hai tuần đầu tháng 2, hơn 54.000 máy tính từ khắp nơi trên thế giới đã trở thành một phần mạng botnet. 85% nạn nhân ở Hoa Kỳ, sau đó là Canada và Anh.
Theo BAE Systems, dường như tội phạm mạng chủ yếu sử dụng Qbot để nhắm vào các tổ chức công như sở cảnh sát, bệnh viện và các trường đại học. Phần lớn nạn nhân trong lĩnh vực giáo dục, tiếp theo là chính phủ và y tế.
Trong các cuộc tấn công mà các nhà nghiên cứu quan sát được, tội phạm mạng phát tán Qbot qua các trang web bị tổn thương dẫn đến bị lây nhiễm bộ công cụ khai thác RIG exploit kit.
Những kẻ phát triển mã độc đã thực hiện một số cải tiến để tăng cơ hội không bị phát hiện của mã độc và chống lại các nỗ lực phân tích. Các chuyên gia phát hiện Qbot tự bảo vệ bằng một bộ mã hóa thời gian chạy khá tinh vi, với các API và chuỗi được giữ trong khối mã hóa và chỉ giải mã khi cần thiết. Điều này đảm bảo các chuỗi quan trọng không thể dễ dàng bị truy cập nếu ai đó dumb bộ nhớ của máy tính bị lây nhiễm.
Để tránh chạy trong sandbox và máy ảo, mã độc kiểm tra sự hiện diện của các chuỗi khác nhau thường liên kết với môi trường ảo.
Kẻ xấu cũng tận dụng cơ chế đa hình dựa trên máy chủ để giúp mã độc tránh bị phát hiện.
“Cơ chế đa hình dựa trên máy chủ cho phép Qbot tránh bị phát hiện bởi các phần mềm diệt virus (AV). Trong số 55 nhà cung cấp AV, chỉ có một vài AV là có thể phát hiện Qbot - cụ thể là phát hiện bộ mã hóa bên ngoài của Qbot”, BAE Systems cho biết. “Sau một vài ngày, mẫu tương tự sẽ bị phát hiện bởi hơn một nửa các AV. Tuy nhiên, bot này thường tự cập nhật lên phiên bản mới trong một hoặc hai ngày, và vì thế vẫn không bị phát hiện trong thời gian dài”.
Mã độc di chuyển theo chiều ngang trong một mạng bị lây nhiễm sử dụng thư mục chia sẻ mặc định. Nếu các điểm chia sẻ này có mật khẩu bảo vệ, Qbot sẽ cố truy cập qua tấn công brute-force.
Ngoài ra, mã độc này lây lan bằng cách đánh cắp mạng và các thông tin hữu ích khác từ Windows Credential Manager và trình quản lý mật khẩu trong Internet Explorer.
Theo SecurityWeek