Kolluk kuvvetleri, 2023’teki Ördek Avı Operasyonu’nda Qakbot botnet sunucularını dağıttı, ancak araştırmacılar, botnet’in yeniden ortaya çıkışını, kalıcılık için srtasks.exe sürecini kullanan ve yeniden başlatılan makinelerde hayatta kalmasını sağlayan değiştirilmiş bir DLL ile tespit etti.
Qakbot, kullanıcı etkileşimi üzerine kötü amaçlı yazılımı dağıtan ekler veya bağlantılar da dahil olmak üzere çeşitli tuzaklara sahip kimlik avı kampanyaları yoluyla yayılmaya devam ediyor.
Kampanyalarda geçmişte kötü amaçlı makrolar, bubi tuzaklı OneNote dosyaları ve yürütülebilir dosyalar ile kısayollar içeren ISO ekleri kullanıldı.
Microsoft’taki araştırmacılar, Ağustos 2023’te kolluk kuvvetlerinin konaklama sektöründeki sınırlı sayıda kullanıcıyı hedef alan IRS temalı kimlik avı e-postalarını kullanarak yayından kaldırmasının ardından QakBot kötü amaçlı yazılımının yeniden ortaya çıktığını keşfetti.
E-postalar muhtemelen IRS’nin vergi mevsimi sırasında vergi mükellefleriyle iletişim kurması şeklindeki yaygın uygulamayı kullanıyordu; bu da, botnet yeteneklerini yeniden kazandıkça QakBot’un enfeksiyonları yaymak için diğer yaygın kimlik avı taktiklerini kullanabileceğini gösteriyor.
Trustifi’nin Gelişmiş tehdit koruması, en geniş yelpazedeki karmaşık saldırıları, kullanıcının posta kutusuna ulaşmadan önce önler. Diğer e-posta güvenlik çözümlerinin kaçırdığı kimlik avı saldırılarının %99’unu durdurur. .
Ücretsiz Demoyu Deneyin
Çok yönlü bir kötü amaçlı yazılım parçası olan QakBot, araştırmayı engellemek için anti-analiz teknikleri kullanır ve kodu, hata ayıklama ortamlarını tanımlamak için IsDebuggerPresent gibi işlevleri kullanır.
Son sürümler Adobe Reader kurulumunu gizler ve srtasks.exe’yi “ExecuteScopeRestorePoint” komutuyla başlatmak için geçici bir dosya oluşturur.
Komut, argüman olarak rastgele bir sayı alır; bu, sistem geri yükleme noktalarının, muhtemelen bulunmasını önlemek veya gelecekte varyantı silmeye yönelik girişimleri önlemek için değiştirildiğini düşündürür; çünkü hatalar, bunun üzerinde hala çalışıldığını göstermektedir.
Kötü amaçlı yazılım, sisteme bulaştıktan sonra meşru srtasks.exe işlemini kötüye kullanarak “Adobe Kurulumu” adlı bir geri yükleme noktası oluşturarak yeni bir kalıcılık yöntemi kullanır.
Sistem geri yükleme noktalarını kullandığı sürece gizli bir rundll32 işlemi, kötü amaçlı bir dll dosyası içeren bu geri yükleme noktasını başlatacak ve QakBot’un fabrika ayarlarına sıfırlandıktan sonra bile arka planda sessizce çalışmaya devam etmesine izin verecektir.
BinaryDefense’e göre, dll’yi indirmek ve tespitten daha fazla kaçınmak için ikincil bir msiexec.exe işlemini de kullanıyor; bu da QakBot’un bilgi toplamak veya ek yükler sağlamak için daha yaygın bir ilk erişim yöntemi haline geldiğini gösteriyor.
Ekte, Windows yükleyicisi msiexec.exe tarafından oluşturulan işlemlerle ilgili olaylara odaklanarak, potansiyel olarak Qakbot kötü amaçlı yazılımıyla bağlantılı şüpheli davranışlara ilişkin tespitler özetlenmektedir.
İlk algılama, msiexec.exe’nin bir alt işlemi tarafından belirli komut satırı bağımsız değişkenleriyle srtasks.exe yürütülmesini arar; ikinci algılama ise msiexec.exe ana işleminin aynı zamanda “/V” bağımsız değişkenine sahip olmasını gerektirerek bunu hassaslaştırır ve ek komutlar arar. msiexec.exe tarafından “/V” ile oluşturulan ve rundll32.exe kullanılarak oluşturulan “.tmp” uzantılı işlemler.
“System\CurrentControlSet\Services\VSS\Diag\SPP” altında belirli anahtar değişikliklerini arayan kayıt defteri olayları da dahildir.
Rundll32.exe’yi kullanan ve potansiyel olarak pencereyi gizlemeye çalışan “.tmp” ile biten başka bir işlemin oluşturduğu “.tmp” uzantılı hedef işlemleri algılar. Son olarak kullanıcının AppData dolaşım klasöründe “KROST.dll” adlı belirli bir dosyayı arar.
Secure your emails in a heartbeat! Take Trustifi free 30-second assessment and get matched with your ideal email security vendor - Try Here