Liam Tung er en australsk forretningsteknologijournalist, der bor et par for mange svenske mil nord for Stockholm til hans smag. Han fik en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hackede sig (uden norrøn eller ondsindet kode for den sags skyld) vej ind i en karriere som enterprise tech-, sikkerheds- og telekommunikationsjournalist hos ZDNet Australia.
Fuld bio den 10. december 2021 | Emne: Sikkerhed 
Qakbot, en toptrojaner til at stjæle bankoplysninger, er i det seneste år begyndt at levere ransomware, og denne nye forretningsmodel gør det sværere for netværksforsvarere at opdage hvad er og ikke er et Qakbot-angreb.
Qakbot, er et særligt alsidigt stykke malware, og har eksisteret i over et årti og overlevet på trods af flere års bestræbelser fra Microsoft og andre sikkerhedsfirmaer for at udrydde den. Qakbot i 2017 adopterede WannaCrys laterale bevægelsesteknikker, såsom at inficere alle netværksshares og drev, brute forcering af Active Directory-konti og bruge SMB-fildelingsprotokollen til at lave kopier af sig selv.
Kasperskys nylige analyse af Qakbot konkluderede, at den ikke vil forsvinde i den nærmeste fremtid. Dets detektionsstatistikker for Qakbot indikerede, at det havde inficeret 65 % flere pc'er mellem januar og juli 2021 sammenlignet med samme periode året før. Så det er en voksende trussel.
SE: Hackere bruger denne enkle teknik til at installere deres malware på pc'er
Microsoft fremhæver, at Qakbot er modulopbygget, hvilket gør det muligt at fremstå som separate angreb på hver enhed på et netværk, hvilket gør det svært for forsvarere og sikkerhedsværktøjer til at opdage, forhindre og fjerne. Det er også svært for forsvarere at opdage, fordi Qakbot bruges til at distribuere flere varianter af ransomware.
“På grund af Qakbots høje sandsynlighed for at gå over til menneske-drevet angrebsadfærd, herunder dataeksfiltrering, lateral bevægelse og løsepenge fra flere aktører, kan detektionerne, der ses efter infektion, variere meget,” siger Microsoft 365 Defender Threat Intelligence Team i sin rapport.
I betragtning af disse vanskeligheder med at udpege en almindelig Qakbot-kampagne, har Microsoft-teamet profileret malwarens teknikker og adfærd for at hjælpe sikkerhedsanalytikere med at udrydde denne alsidige malware.
Den primære leveringsmekanisme er vedhæftede filer, links eller indlejrede billeder via e-mail. Det er dog også kendt at bruge Visual Basic for Applications (VBA)-makroer samt ældre Excel 4.0-makroer til at inficere maskiner. TrendMicro analyserede en stor Qakbot-kampagne i juli, der brugte denne teknik.
Andre grupper som Trickbot begyndte for nylig at bruge Excel 4.0-makroer til at kalde Win32 API'er og køre shell-kommandoer. Som et resultat deaktiverede Microsoft disse makrotyper som standard, men Qakbot bruger tekst i et Excel-dokument til at narre mål til manuelt at aktivere makroen.
Qakbot anvender procesinjektion til at skjule ondsindede processer, skabe planlagte opgaver til at fortsætte på en maskine og manipulere Windows-registreringsdatabasen.
Når den kører på en inficeret enhed, bruger den flere teknikker til lateral bevægelse, anvender Cobalt Strike penetration-testramme eller implementerer ransomware.
FBI advarede sidste år om, at Qakbot-trojanske heste leverede ProLock, en “menneskebetjent ransomware”-variant. Det var en bekymrende udvikling, fordi computere, der er inficeret med Qakbot på et netværk, skal isoleres, fordi de er en bro for et ransomware-angreb.
Microsoft bemærker, at MSRA.exe og Mobsync.exe er blevet brugt af Qakbot til dette procesinjektion for at køre flere netværks-'opdagelseskommandoer' og derefter stjæle Windows-legitimationsoplysninger og browserdata.
Qakbots Cobalt Strike-modul egner sig til andre kriminelle bander, der kan droppe deres egen nyttelast, såsom løsepenge. Per Trend Micro har Qakbot leveret MegaCortex og PwndLocker (2019), Egregor og ProLock (2020) og Sodinokibi/REvil (2021).
“Qakbot har et Cobalt Strike-modul, og aktører, der køber adgang til maskiner med tidligere Qakbot-infektioner, kan også droppe deres egne Cobalt Strike-beacons og yderligere nyttelast,” bemærker Microsoft.
“Ved at bruge Cobalt Strike får angribere fuld hands-on-keyboard-adgang til de berørte enheder, hvilket gør dem i stand til at udføre yderligere opdagelse, finde mål af høj værdi på netværket, bevæge sig sideværts og slippe yderligere nyttelast, især menneskebetjente ransomware-varianter som f.eks. som Conti og Egregor.”
Microsofts anbefalede begrænsninger for at minimere Qakbots indvirkning omfatter aktivering af Office 365-phishing-beskyttelse, aktivering af SmartScreen og netværk i Edge-browseren og sikring af runtime makroscanning ved at dreje Windows Antimalware Scan Interface (AMSI) på.
AMSI understøttes af Microsoft Defender antivirus og adskillige tredjeparts antivirusleverandører. AMSI-understøttelse af Excel 4.0-makroer ankom i marts, så det er stadig en relativt ny funktion.
Sikkerhed
Hackere bruger ny malware, som gemmer sig mellem blokke af uønsket kode Svindlere sælger adgang til hackede netværk. Ransomware-bander er deres største kunder. Her er den perfekte gave til at beskytte enhver med en computer Disse forskere ønskede at teste cloud-sikkerhed. De var chokerede over, hvad de fandt. Hackere bruger denne enkle teknik til at installere deres malware på pc'er, der er ramt af ransomware? Begå ikke denne første åbenlyse fejl Security TV | Datastyring | CXO | Datacentre