Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för hans smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.
Fullständig bio den 10 december 2021 | Ämne: Säkerhet 
Qakbot, en topptrojan för att stjäla bankuppgifter, har under det senaste året börjat leverera ransomware och denna nya affärsmodell gör det svårare för nätverksförsvarare att upptäcka vad är och inte är en Qakbot-attack.
Qakbot, är en särskilt mångsidig del av skadlig programvara och har funnits i över ett decennium och överlevt trots flera års ansträngningar från Microsoft och andra säkerhetsföretag för att utrota den. Qakbot antog 2017 WannaCrys laterala rörelsetekniker, som att infektera alla nätverksresurser och enheter, brute forcering av Active Directory-konton och använda SMB-fildelningsprotokollet för att skapa kopior av sig själv.
Kasperskys senaste analys av Qakbot drog slutsatsen att den inte kommer att försvinna någon gång snart. Dess upptäcktsstatistik för Qakbot visade att den hade infekterat 65 % fler datorer mellan januari och juli 2021 jämfört med samma period föregående år. Så det är ett växande hot.
SE: Hackare vänder sig till denna enkla teknik för att installera sin skadliga programvara på datorer
Microsoft framhåller att Qakbot är modulärt, vilket gör att det kan visas som separata attacker på varje enhet i ett nätverk, vilket gör det svårt för försvarare och säkerhetsverktyg för att upptäcka, förhindra och ta bort. Det är också svårt för försvarare att upptäcka eftersom Qakbot används för att distribuera flera varianter av ransomware.
“På grund av Qakbots höga sannolikhet att övergå till mänskligt styrda attackbeteenden inklusive dataexfiltrering, laterala rörelser och ransomware av flera aktörer, kan detektionerna som ses efter infektion variera kraftigt”, säger Microsoft 365 Defender Threat Intelligence Team i sin rapport.
Med tanke på dessa svårigheter med att lokalisera en vanlig Qakbot-kampanj har Microsoft-teamet profilerat skadlig programvaras tekniker och beteenden för att hjälpa säkerhetsanalytiker att utrota denna mångsidiga skadliga programvara.
Den primära leveransmekanismen är bifogade filer, länkar eller inbäddade bilder via e-post. Det är dock också känt att använda Visual Basic for Applications (VBA)-makron såväl som äldre Excel 4.0-makron för att infektera maskiner. TrendMicro analyserade en stor Qakbot-kampanj i juli som använde denna teknik.
Andra grupper som Trickbot började nyligen använda Excel 4.0-makron för att anropa Win32 API och köra skalkommandon. Som ett resultat avaktiverade Microsoft dessa makrotyper som standard, men Qakbot använder text i ett Excel-dokument för att lura mål att manuellt aktivera makrot.
Qakbot använder processinjektion för att dölja skadliga processer, skapa schemalagda uppgifter som kvarstår på en dator och manipulera Windows-registret.
När den körs på en infekterad enhet använder den flera tekniker för sidorörelser, använder Cobalt Strike-ramverket för penetrationstestning eller distribuerar ransomware.
FBI förra året varnade för att Qakbot-trojaner levererade ProLock, en “mänsklig ransomware”-variant. Det var en oroande utveckling eftersom datorer infekterade med Qakbot i ett nätverk måste isoleras eftersom de är en brygga för en ransomware-attack.
Microsoft noterar att MSRA.exe och Mobsync.exe har använts av Qakbot för detta processinjektion för att köra flera nätverkskommandon för “upptäckt” och sedan stjäla Windows-referenser och webbläsardata.
Qakbots Cobalt Strike-modul lämpar sig för andra kriminella gäng som kan släppa sina egna nyttolaster, såsom ransomware. Per Trend Micro har Qakbot levererat MegaCortex och PwndLocker (2019), Egregor och ProLock (2020) och Sodinokibi/REvil (2021).
“Qakbot har en Cobalt Strike-modul, och aktörer som köper åtkomst till maskiner med tidigare Qakbot-infektioner kan också släppa sina egna Cobalt Strike-fyrar och ytterligare nyttolaster,” noterar Microsoft.
“Genom att använda Cobalt Strike kan angripare ha full hands-on-tangentbord åtkomst till de berörda enheterna, vilket gör det möjligt för dem att utföra ytterligare upptäckt, hitta värdefulla mål på nätverket, flytta i sidled och släppa ytterligare nyttolaster, särskilt mänskligt styrda ransomware-varianter som t.ex. som Conti och Egregor.”
Microsofts rekommenderade begränsningar för att minimera Qakbots påverkan inkluderar att aktivera Office 365 phishing-skydd, aktivera SmartScreen och nätverk i Edge-webbläsaren och säkerställa runtime makroskanning genom att vrida Windows Antimalware Scan Interface (AMSI) på.
AMSI stöds av Microsoft Defender antivirus och flera tredjeparts antivirusleverantörer. AMSI-stöd för Excel 4.0-makron kom i mars, så det är fortfarande en relativt ny funktion.
Säkerhet
Hackare använder ny skadlig programvara som gömmer sig mellan block med skräpkod Skurkar säljer åtkomst till hackade nätverk. Ransomware-gäng är deras största kunder. Här är den perfekta presenten för att skydda alla med en dator. Dessa forskare ville testa molnsäkerhet. De blev chockade över vad de upptäckte. Hackare vänder sig till denna enkla teknik för att installera sin skadliga programvara på datorer som drabbats av ransomware? Gör inte detta första uppenbara misstag Security TV | Datahantering | CXO | Datacenter