你是否知道有這樣一種銀行木馬？

擅長以惡意郵件為載體

來竊取財(cái)務(wù)憑證等重要信息

橫行霸道十余載

仍在不斷進(jìn)化

鍵盤記錄、后門功能和逃避檢測

均不在話下

讓我們一起揭開Qakbot的邪惡面紗

關(guān)于Qakbot

Qakbot銀行木馬通常是通過電子郵件附件傳播，一旦受害者點(diǎn)擊郵件附件，QAKBOT就會(huì)安裝到受害主機(jī)上，收集受害主機(jī)上的信息并上報(bào)C&C服務(wù)器。近日，亞信安全截獲了攜帶QAKBOT木馬的最新電子郵件樣本，與以往不同的是，此次截獲的電子郵件帶有一個(gè)HTML文件附件，采用了HTML偷渡技術(shù)有效規(guī)避殺軟檢測，可以幫助攻擊者將惡意的有效載荷隱藏在看似正常的HTML文件中，來規(guī)避內(nèi)容過濾器和防火墻的檢測，從而進(jìn)行惡意代碼分發(fā)。

攻擊流程

亞信安全產(chǎn)品解決方案

碼版本17.881.60，云病毒碼版本17.881.71，全球碼版本17.881.00已經(jīng)可以檢測，請用戶及時(shí)升級(jí)病毒碼版本；

亞信安全DDAN沙盒平臺(tái)可以檢測該木馬的惡意行為：

安全建議

• 全面部署安全產(chǎn)品，保持相關(guān)組件及時(shí)更新；

• 不要點(diǎn)擊來源不明的QQ文件、郵件、附件以及郵件中包含的鏈接；

• 請到正規(guī)網(wǎng)站下載程序；

• 采用高強(qiáng)度的密碼，避免使用弱口令密碼，并定期更換密碼；

• 盡量關(guān)閉不必要的端口及網(wǎng)絡(luò)共享；

病毒詳細(xì)分析

我們以最新截獲的電子郵件為例進(jìn)行分析，該電子郵件攜帶一個(gè)HTML文件附件（FXS_6027130.html），用戶一旦下載該HTML附件，并在瀏覽器中打開，就會(huì)下載一個(gè)有密碼保護(hù)的ZIP檔案（FXS_6027130.zip），解壓密碼會(huì)顯示在瀏覽器中，該ZIP文檔則包含一個(gè)ISO文件。

打開下載的html文件進(jìn)行分析，我們發(fā)現(xiàn)，zip檔案通過base64編碼的形式存儲(chǔ)在JavaScript變量中，用戶打開html文件后javascript代碼自動(dòng)運(yùn)行，將base64編碼的信息還原然后彈出下載框，用戶點(diǎn)擊ok后，就會(huì)將zip檔案保存到用戶指定的位置。

解壓下載好的zip檔案，里面包含一個(gè)ISO文件。直接裝載此ISO文件，用戶只會(huì)看到一個(gè)LNK快捷方式，其他的文件均是隱藏文件。

我們用7zip打開ISO文件后，才能發(fā)現(xiàn)其他隱藏的文件。

用戶雙擊這個(gè)快捷方式會(huì)運(yùn)行隱藏的惡意文件。

QAKBOT LOADER --WMK9.DAT分析

該loader是一個(gè)dephi程序，運(yùn)行后進(jìn)行解密操作，在內(nèi)存中解密出QAKBOT本體然后跳轉(zhuǎn)執(zhí)行。

解密出的QAKBOT本體是C++編譯的 Dll文件。

QAKBOT DLL文件分析

運(yùn)行后首先通過API GetFileAttributes檢查C:\INTERNAL\__empty屬性，如果API返回失敗則會(huì)退出運(yùn)行。

判斷環(huán)境變量SELF_TEST_1 的狀態(tài)，來決定是否繼續(xù)執(zhí)行惡意例程。

環(huán)境變量檢查通過后，創(chuàng)建一個(gè)新線程執(zhí)行惡意例程。

線程執(zhí)行后檢測殺軟進(jìn)程。

創(chuàng)建傀儡進(jìn)程explorer.exe。

進(jìn)程注入。

創(chuàng)建計(jì)劃任務(wù)達(dá)到持久化目的：

其中的Base64編碼解碼后如下：

regsvr32.exe "C:\Users\Administrator\AppData\Local\Temp\S6SQEQ6\WMK9.DAT.dll"

將本機(jī)信息發(fā)送給遠(yuǎn)程C&C服務(wù)器：