Liam Tung er en australsk forretningsteknologijournalist som bor noen for mange svenske mil nord for Stockholm for hans smak. Han tok en bachelorgrad i økonomi og kunst (kulturstudier) ved Sydneys Macquarie University, men hacket seg (uten norrønt eller ondsinnet kode for den saks skyld) seg inn i en karriere som enterprise tech-, sikkerhets- og telekommunikasjonsjournalist hos ZDNet Australia.
Full bio 10. desember 2021 | Emne: Sikkerhet 
Qakbot, en topptrojaner for å stjele banklegitimasjon, har det siste året begynt å levere løsepengevare, og denne nye forretningsmodellen gjør det vanskeligere for nettverksforsvarere å oppdage hva er og ikke er et Qakbot-angrep.
Qakbot, er en spesielt allsidig del av skadelig programvare, og har eksistert i over et tiår og overlevd til tross for flere års innsats fra Microsoft og andre sikkerhetsfirmaer for å utrydde den. Qakbot i 2017 tok i bruk WannaCrys laterale bevegelsesteknikker, for eksempel å infisere alle nettverksaksjer og stasjoner, brute forcing Active Directory-kontoer og bruke SMB-fildelingsprotokollen for å lage kopier av seg selv.
Kasperskys nylige analyse av Qakbot konkluderte med at den ikke vil forsvinne med det første. Deteksjonsstatistikken for Qakbot indikerte at den hadde infisert 65 % flere PC-er mellom januar og juli 2021 sammenlignet med samme periode året før. Så det er en økende trussel.
SE: Hackere bruker denne enkle teknikken for å installere skadelig programvare på PC-er
Microsoft fremhever at Qakbot er modulær, slik at den kan vises som separate angrep på hver enhet på et nettverk, noe som gjør det vanskelig for forsvarere og sikkerhetsverktøy for å oppdage, forhindre og fjerne. Det er også vanskelig for forsvarere å oppdage fordi Qakbot brukes til å distribuere flere varianter av løsepengevare.
“På grunn av Qakbots høye sannsynlighet for å gå over til menneske-operert angrepsatferd inkludert dataeksfiltrering, sideveis bevegelse og løsepengeprogramvare fra flere aktører, kan deteksjonene som sees etter infeksjon variere mye,” sier Microsoft 365 Defender Threat Intelligence Team i sin rapport.
Gi disse vanskelighetene med å finne en vanlig Qakbot-kampanje, har Microsoft-teamet profilert teknikkene og virkemåten for skadevare for å hjelpe sikkerhetsanalytikere med å utrydde denne allsidige skadevare.
Den primære leveringsmekanismen er e-postvedlegg, lenker eller innebygde bilder. Det er imidlertid også kjent å bruke Visual Basic for Applications (VBA)-makroer så vel som eldre Excel 4.0-makroer for å infisere maskiner. TrendMicro analyserte en stor Qakbot-kampanje i juli som brukte denne teknikken.
Andre grupper som Trickbot begynte nylig å bruke Excel 4.0-makroer for å kalle Win32 APIer og kjøre skallkommandoer. Som et resultat deaktiverte Microsoft disse makrotypene som standard, men Qakbot bruker tekst i et Excel-dokument for å lure mål til å aktivere makroen manuelt.
Qakbot bruker prosessinjeksjon for å skjule ondsinnede prosesser, lage planlagte oppgaver som skal vedvare på en maskin, og manipulere Windows-registret.
Når den kjører på en infisert enhet, bruker den flere teknikker for sideveis bevegelse, bruker Cobalt Strike-rammeverket for penetrasjonstesting eller distribuerer løsepengeprogramvare.
FBI advarte i fjor om at Qakbot-trojanere leverte ProLock, en «menneske-operert løsepengevare»-variant. Det var en bekymringsfull utvikling fordi datamaskiner infisert med Qakbot på et nettverk må isoleres fordi de er en bro for et løsepengeangrep.
Microsoft bemerker at MSRA.exe og Mobsync.exe har blitt brukt av Qakbot til dette prosessinjeksjon for å kjøre flere nettverksoppdagingskommandoer og deretter stjele Windows-legitimasjon og nettleserdata.
Qakbots Cobalt Strike-modul egner seg til andre kriminelle gjenger som kan slippe sin egen nyttelast, som løsepengevare. Per Trend Micro har Qakbot levert MegaCortex og PwndLocker (2019), Egregor og ProLock (2020) og Sodinokibi/REvil (2021).
“Qakbot har en Cobalt Strike-modul, og aktører som kjøper tilgang til maskiner med tidligere Qakbot-infeksjoner kan også droppe sine egne Cobalt Strike-beacons og ekstra nyttelast,” bemerker Microsoft.
“Ved å bruke Cobalt Strike lar angripere ha full hands-on-keyboard-tilgang til de berørte enhetene, noe som gjør dem i stand til å utføre ytterligere oppdagelse, finne høyverdimål på nettverket, bevege seg sideveis og slippe ytterligere nyttelast, spesielt menneskestyrte løsepengevarevarianter som f.eks. som Conti og Egregor.”
Microsofts anbefalte tiltak for å minimere Qakbots innvirkning inkluderer aktivering av Office 365 phishing-beskyttelse, aktivering av SmartScreen og nettverk i Edge-nettleseren, og sikring av kjøretidsmakroskanning ved å snu Windows Antimalware Scan Interface (AMSI) på.
AMSI støttes av Microsoft Defender antivirus og flere tredjeparts antivirusleverandører. AMSI-støtte for Excel 4.0-makroer kom i mars, så det er fortsatt en relativt ny funksjon.
Sikkerhet
Hackere bruker ny skadelig programvare som gjemmer seg mellom blokker med søppelkode Crooks selger tilgang til hackede nettverk. Ransomware-gjenger er deres største kunder Her er den perfekte gaven for å beskytte alle med en datamaskin Disse forskerne ønsket å teste skysikkerhet. De ble sjokkert over det de fant Hackere bruker denne enkle teknikken for å installere skadelig programvare på PC-er rammet av løsepengeprogram? Ikke gjør denne første åpenbare feilen Security TV | Databehandling | CXO | Datasentre