虽然Qakbot这个名字听起来很可笑,但当听说这个木马是针对企业和公司帐户时--就没有人再笑了。Qakbot木马以其主要的可执行文件_qakbot.dll命名,它并不是一种新的木马;但是RSA FraudAction 研究实验室却已经在Qakbot中发现了一些以前很少在其他金融犯罪软件中出现的独特属性。
我们对Qakbot的最新研究表明,它的触发列表几乎完全包含了美国的大型金融机构,还有几个非美国机构的实例。此外,Qakbot还是第一款专门针对这些金融机构企业/公司帐户的木马。Qakbot为什么要局限于此?为什么不扩大到公司账户之外并侵害普通消费者?答案就是经济--Qakbot的目标就是骗取更多的金钱,而这要远远超过一般私人网上帐户中能够获取的金额。虽然Qakbot并不是第一款也不是唯一一款针对这些帐户的木马,但它却是唯一一款在设计上表现出这类严格"偏爱"的木马,并且没有例外。
Qakbot木马究竟是如何从企业银行账户中获取金钱的目前仍在调查之中。令人惊讶的是,我们并没有追踪到HTML或JavaScript代码注入,也没有追踪到通常用于规避保护这些高资产账户的双因素认证机制的浏览器中间人攻击。不过,我们怀疑Qakbot确实有某种可实时完成攻击的模块,否则它就不会针对企业帐户了。
Qakbot木马的另一个独特属性就是它的扮装。 Qakbot是终极多面手,它设计成像蠕虫一样的传播--每次可以感染多台机器--同时却又像普通的银行木马一样窃取数据。Qakbot将共享网络作为其攻击目标,同时把其可执行文件复制到共享目录中;而一种能让其在企业网络上传播的技术使每台连接到此类网络的计算机都极易受到攻击。虽然它并不是完全原创的,但蠕虫/木马的结合却是非常罕见和有效的。
最后,Qakbot是一个组织发电机。它是第一个在客户端侧将目标凭证从其他窃取的信息中分离出来,而不是放在卸放区的木马。在受害者计算机上将目标凭证与其他信息区分开之后,目标凭证就被发送到Qakbot的卸放服务器,而Qakbot没有特别针对的、从实体窃取的凭证则利用劫持的FTP帐户上传到合法的FTP服务器上。
Qakbot所窃取信息的绝对数量及其细节令人咋舌。每次当受感染的用户访问实体的网站时,木马就会将受害者计算机上传输的数据组织到3个独立的文件中:系统信息(IP地址,DNS服务器,国家,州,城市,安装的应用软件等)(见图1 ),Seclog(HTTP/S POST请求)(见 图 2),和受保护存储区(保存在Internet Explorer受保护存储区中的信息,以及自动完成的凭证,包括用户名,密码,以及浏览器历史)(见图 3)。这些文件按每个用户进行组织,同时还连同全面的系统和用户帐户信息。何必为每台受感染计算机上定义的每个用户帐户汇集如此广泛的系统数据?所有的这些信息很可能由Qakbot的作者汇集起来以作将来之用。
Qakbot木马迄今为止最著名的受害者是英国公共资助的医疗保健系统国家卫生服务(NHS)。Qakbot感染了超过1100台电脑,但却没有证据表明病人数据遭到了侵害,来自Facebook,Twitter,Hotmail,Gmail和雅虎的4 GB凭证被发现通过NHS受监控的服务器传出。
Qakbot的其他特性
Qakbot两个脱颖而出的广泛隐形功能尤其不同寻常:第一个是Qakbot广泛的实验室回避程序,旨在确保该木马不会在安全公司的研究实验室运行。Qakbot的开发者肯定不是为了使他们的犯罪软件避免被实验室环境中的研究人员研究而设计实验室回避测试的第一个犯罪软件作者。然而,与那些只检查是否被运行在虚拟机上从而确定是否继续自安装的其他一些木马程序不同的是, Qakbot的作者不厌其烦地设置了七(7)次测试以确保他们的木马不会被安全研究人员进行反向工程并做详细研究。
此外,更不寻常的是,如果Qakbot识别出它正在实验室环境中运行,它就会特意将有关的IP地址报告给木马卸放区:木马将系统的IP地址和bot ID发送给Qakbot的卸放区(通过内部命令getip)。这种类型的通知很可能得以执行以将该IP地址列入黑名单,这样木马就不会再试图感染同一个研究实验室。
实验室追踪到的第二个不寻常的隐形功能就是Qakbot作者为压缩木马所窃凭证而自行开发的独特压缩格式--实验室见证的第一个此类编程壮举,因为大多数银行木马都只是简单地使用流行的压缩格式如ZIP, RAR, 和TARGZ。Qakbot作者专有的压缩格式迫使专业安全研究人员不得不耗费大量的时间和精力编写了一个合适的解压缩程序。
需要着重指出的是,Qakbot木马的分布相当的有限,因此它很可能是私人所有,并且是由一个单一的网络犯罪份子或团伙操纵,而不是商业化地在地下市场提供。然而,尽管该木马的流行程度较低,但其独特的功能却使Qakbot成为一个具有高度针对性的虚拟窃贼。
用户评论