Yalnızca birkaç kötü amaçlı yazılım ailesi yaklaşık yirmi yıldır varlığını sürdürdüğünü iddia edebilir ve QakBot (aynı zamanda QBot olarak da anılır) bunların arasında en kalıcı olanlardan biri olarak yer alır. İlk ortaya çıktığı 2008 yılından bu yana çok sayıda saldırıda kullanıldı ve yüz milyonlarca dolarlık önemli mali kayıplara neden oldu.
Ancak görünen o ki FBI’ın QakBot’un operasyonlarını çökertmek için son zamanlarda aldığı önlemler, kötü amaçlı yazılımın faaliyetlerine ölümcül bir darbe indirmiş olabilir. Buna rağmen geçmiş bize, kötü amaçlı yazılımların bazen bu tür aksaklıklardan kurtulabildiğini gösterdi.
QakBot hem Uzaktan Erişim Truva Atı (RAT) hem de yükleyici olarak çalışmasına olanak tanıyan modüler tasarıma sahip bir kötü amaçlı yazılım ailesidir. Tarihsel olarak, bu kötü amaçlı yazılımı içeren saldırılar öncelikle ABD’deki işletmeleri hedef almış ve bankacılık bilgileri ile diğer mali kimlik bilgilerinin çalınmasına odaklanmıştı.
Kötü amaçlı yazılım, web enjeksiyonlarını yürütmesine olanak tanıyan tarayıcıdaki adam işlevinden yararlanıyor ve kurbanların virüslü bir cihazdan gezinirken görüntüledikleri bankacılık web sitesi içeriğini değiştiriyor.
QakBot ayrıca solucan benzeri davranışlar sergileyerek ortak sürücüler ve ağ sistemleri üzerinden yayılmasına olanak tanıyarak yok etme çabalarını daha da karmaşık hale getiriyor.
Kötü amaçlı yazılımın kurumsal sektöre yönelik birincil vurgusu göz önüne alındığında, sistemlere sızmanın en yaygın yolu, kimlik avı kampanyalarının bir parçası olarak dağıtılan kötü amaçlı bir belge aracılığıyla olmuştur. Örneğin, böyle bir maldoc’un tipik yürütme yolu şu şekilde izlenebilir: ANY.RUN’lar analizi bir QBot örneği.
Saldırı, kurbanın maldoc’u indirmesiyle başlar ve bu maldoc, başlatıldığında makrolardan yararlanarak bir dizi süreci başlatır. Buradan QBot, bir komut ve yürütme zinciri başlatmak, klasörler ve geçici dosyalar oluşturmak için cmd.exe’yi kullanır. Truva atı daha sonra yürütülebilir bir dosya olmasına rağmen genellikle altı rakam veya harften oluşan basit bir ada ve .png uzantısına sahip olan yükü indirmek için Powershell’i kullanır.
QBot ana yürütmeye başladığında, calc.exe (hesap makinesi) gibi meşru Windows işlemleriyle kendisinin üzerine yazarak, explorer.exe’yi enjekte ederek ve kalıcılık kazanmak için kendisini otomatik çalıştırmaya ekleyerek tespitten kaçmaya çalışır.
VM ile 20 dakikaya kadar etkileşim kurun, IOC’leri ve yapılandırmaları toplayın ve ücretsiz olarak sınırsız analizin keyfini çıkarın.
Ücretsiz Kaydolmayı Deneyin
FBI’ın QBot Operasyonlarını Engellemesi
Ağustos 2023’te FBI duyuruldu diğer kolluk kuvvetleriyle işbirliği yaparak QBot ağını başarıyla çökerttiğini ve bunun sonucunda kötü amaçlı yazılımın birçok yerden ortadan kaldırıldığını söyledi. 700.000 virüslü bilgisayar.
Operasyon, Qakbot’un komuta ve kontrol altyapısına erişmeyi ve trafiğini FBI’ın sunucularına yönlendirmeyi içeriyordu. Bu sunucular daha sonra virüslü bilgisayarlara bir kaldırma dosyası indirmeleri talimatını vererek kötü amaçlı yazılımı makinelerden etkili bir şekilde kaldırdı.
Ajans, milyonlarca dolarlık kripto para birimini ve 100’den fazla kişinin kimlik bilgilerini kurtardı 6 milyon kurbane-posta adresleri ve şifreler dahil. Ek olarak FBI, botnet’i kalıcı olarak ortadan kaldıracak 52 sunucuya el koydu.
Bu QBot’un sonunu getirecek mi?
Yine de soru hala ortada: Son dönemdeki başarılı operasyon QBot’un tabutuna çakılan son çivi mi olacak? Ne yazık ki, pek çok benzer emsal mevcut olduğundan bu pek olası değil.
Örneğin 2021’de FBI dahil uluslararası kolluk kuvvetleri, alındı Tarihin en büyük botnet’lerinden biri olan Emotet, virüs bulaşmasından sorumlu bir milyondan fazla bilgisayar küresel olarak. İlginç bir şekilde, ajansların uyguladığı taktik, QBot’a karşı kullanılan taktiğin aynısıydı: Botnet’in altyapısına erişim sağlandı ve kötü amaçlı yazılım, özel yazılım kullanılarak etkilenen tüm makinelerden kaldırıldı. Fakat, 10 ay Baskının ardından Emotet tüm operasyonuna geri döndü.
Bu tür emsaller, özellikle kötü amaçlı yazılımın arkasındaki gerçek geliştirici grubunun tutuklanmadığı göz önüne alındığında, QakBot’un hâlâ eskisinden daha sağlam bir şekilde geri dönme potansiyeline sahip olduğunu gösteriyor. Bütün bunlar şunu gösteriyor QBot muhtemelen en kalıcı tehditlerden biri olarak kaybettiği konumunu yeniden kazanacak.
Çözüm
Her ne kadar QakBot küresel tehdit ortamından geçici olarak uzaklaştırılmış olsa da gelecekte geri dönüşüne karşı temkinli ve hazırlıklı olmak çok önemli. Her türlü siber güvenlik sorununun üstesinden gelebilecek donanıma sahip olmak için şunları kullanın: HERHANGİ BİR ÇALIŞMA.
En yeni tehditlerin kötü amaçlı faaliyetlerini ve mevcut tehditlerin en son sürümlerini açığa çıkarma konusunda mükemmel bir geçmişe sahip, düzenli olarak güncellenen bir kötü amaçlı yazılım sanal alanıdır.
Eşsiz etkileşimi ve çok çeşitli VM yapılandırma ayarlarıyla birleştiğinde ANY.RUN, sezgisel bir web arayüzünün rahatlığında en gelişmiş kötü amaçlı yazılım örneklerinin derinlemesine analizini gerçekleştirmede en iyi ortağınız olacaktır.
Kullanabilirsiniz ANY.RUN korumalı alan Herhangi bir dosya veya bağlantı hakkında neredeyse anında rapor almak, faaliyetlerine derinlemesine bakmak ve hizmetin veritabanındaki en son örnekleri keşfetmek için sınırsız ücretsiz.