原文地址：https://unit42.paloaltonetworks.com/tutorial-qakbot-infection/

Overview

Qakbot也稱為Qbot，是一種進行信息竊取的惡意程序昧旨。Qakbot家族的惡意軟件已經(jīng)活躍很多年了吸耿，并且他們有著特別的流量模式圃酵。這次的Wireshark教程回顧了近期從Qakbot感染中捕獲的數(shù)據(jù)包屁商。了解這些流量模式對于安全人員進行檢測和調(diào)查Qakbot感染是十分重要的。

這里我們對Wireshark的顯示列表進行了一定的調(diào)整鹅很，具體可參見：

• 定制個性化的Wireshark—改變顯示列表：

定制個性化的Wireshark—改變顯示列表 · 語雀?

• Using Wireshark - 顯示篩選表達式：

Using Wireshark - 顯示篩選表達式 · 語雀?

?請注意：我們應該在Linux虛擬機中進行本次實驗像吻。

本次教程主要包括：

• Qakbot distribution methods — Qakbot傳播原理
• Initial zip archive from link in an malspam — 垃圾郵件中的初始zip鏈接
• Windows executable for Qakbot — Qakbot的Windows可執(zhí)行文件
• Post-infection HTTPS activity — Qakbot的Windows可執(zhí)行文件
• Other post-infection traffic — 感染后的其他類型流量

本次教程的PCAP文件下載地址

image

<figcaption>圖 1. 本次教程的PACA文件</figcaption>

Qakbot Distribution Methods

一般情況下，Qakbot通過惡意垃圾郵件進行傳播勺爱，但是最近在2019年11月我們也注意到了通過exploit kit進行傳播的案例晃琳。如從2019年3月所報道的案例，在一些情況下Qakbot是由像Emotet等惡意軟件引起的后續(xù)感染琐鲁。

amber：一文搞懂Exploit卫旱、Exploit Kit和Malware的區(qū)別?

最近Qakbot基于惡意郵件的傳播感染鏈如圖2所示。

image

<figcaption>圖 2. Qakbot傳播感染鏈</figcaption>

Initial Zip Archive from Link in Malspam

近期通過惡意垃圾郵件傳播的Qakbot使用模仿合法郵件地址的虛假郵件鏈接围段，如圖3所示顾翼。

image

<figcaption>圖 3. 通過惡意垃圾郵件傳播的Qakbot</figcaption>

這些電子郵件的URL以一連串短數(shù)字加上.zip 結(jié)尾。下表展示了URLhaus和Twitter報道的基于垃圾郵件傳播的Qakbot中的URLs：

• 2019-12-27hxxps://prajoon.000webhostapp[.]com/wp-content/uploads/2019/12/last/033/033.zip
• 2019-12-27hxxps://psi-uae[.]com/wp-content/uploads/2019/12/last/870853.zip
• 2019-12-27hxxps://re365[.]com/wp-content/uploads/2019/12/last/85944289/85944289.zip
• 2019-12-27hxxps://liputanforex.web[.]id/wp-content/uploads/2019/12/last/794/794.zip
• 2020-01-06hxxp://http://eps.icothanglong.edu[.]vn/forward/13078.zip
• 2020-01-22hxxp://hitechrobo[.]com/wp-content/uploads/2020/01/ahead/84296848/84296848.zip
• 2020-01-22hxxp://http://faithoasis.000webhostapp.com/wp-content/uploads/2020/01/ahead/550889.zip
• 2020-01-27hxxps://madisonclubbar[.]com/fast/invoice049740.zip
• 2020-01-29hxxp://zhinengbao[.]wang/wp-content/uploads/2020/01/lane/00571.zip
• 2020-01-29hxxp://bhatner[.]com/wp-content/uploads/2020/01/ahead/9312.zip
• 2020-02-03hxxp://santedeplus[.]info/wp-content/uploads/2020/02/ending/1582820/1582820.zip

如圖4所示奈泪，在我們的數(shù)據(jù)包中适贸，你可以設(shè)置Wireshark的過濾選項為 http.request.uri contains .zip 來觀察初始zip歸檔文件的HTTP請求灸芳。

image

<figcaption>圖4. 查找初始zip歸檔文件的URL</figcaption>

如圖5和圖6所示，追蹤TCP流以確定這是一個zip文件拜姿，然后如圖7所示烙样，嘗試從pcap中導出zip文件。

image

<figcaption>圖 5. 追蹤TCP流</figcaption>

image

<figcaption>圖 6. 確認zip文件</figcaption>

image

<figcaption>圖 7. 導出文件對象</figcaption>

在大部分情況下蕊肥，通過 File → Export Objects → HTTP 就可以導出我們想要的zip文件谒获。不幸地是，如圖8所示壁却，我們不能簡單地導出該名為 9312.zip 的文件批狱，因為它在HTTP導出對象列表中被分成了數(shù)百個更小的部分。

image

<figcaption>圖 8. 9312.zip 在HTTP導出對象列表中的顯示</figcaption>

幸運的是展东，我們可以從TCP流中導出數(shù)據(jù)并通過十六進制編輯器修改二進制文件去除任何http響應頭赔硫。使用以下步驟從這個pcap中導出文件:

1. 追蹤 9312.zip 的TCP流或HTTP流
2. 在TCP流窗口中只顯示響應流量
3. 更改“Show and save data as”選項，ASCII改為Raw
4. 將數(shù)據(jù)保存為二進制文件（如9312.zip.bin）
5. 在十六進制編輯器中打開二進制文件琅锻，并刪除zip歸檔文件的前兩個字節(jié)以去除HTTP請求頭(以ASCII格式顯示為PK)
6. 將文件保存為zip文件（如9312.zip）
7. 檢查該文件卦停，以確保它是zip文件

圖9-14展示了這一個過程。

image

<figcaption>圖 9. Step 2 – 在TCP流窗口中只顯示響應流量</figcaption>

image

<figcaption>圖 10. Step 3 – 更改“Show and save data as”選項恼蓬，ASCII改為Raw</figcaption>

image

<figcaption>圖 11. Step 4 – 將數(shù)據(jù)保存為二進制文件（如9312.zip.bin）</figcaption>

image

<figcaption>圖 12. Step 5 – 在十六進制編輯器中打開二進制文件惊完，并刪除zip文件之前的字節(jié)以去除HTTP請求頭(以ASCII格式顯示為PK)</figcaption>

image

<figcaption>圖 13. Step 6 – 將文件保存為zip文件（如9312.zip）</figcaption>

image

<figcaption>圖 14. Step 7 – 檢查該文件，以確保它是zip文件</figcaption>

我們可以通過公共沙箱對提取的VBS文件進行分析处硬，分析結(jié)果顯示它生成了下一個與Qakbot感染相關(guān)的URL：一個為Qakbot返回Windows可執(zhí)行文件的URL小槐。

Windows Executable for Qakbot

這些提取的VBS文件生成了返回Windows可執(zhí)行文件的URL。自從2019年12月荷辕，與Qakbot可執(zhí)行文件相關(guān)的URL都以 44444.png 或 444444.png 結(jié)尾凿跳。下表是作者使用他們公司的威脅情報工具——AutoFocus發(fā)現(xiàn)的與Qakbot相關(guān)的URL：

• hxxp://centre-de-conduite-roannais[.]com/wp-content/uploads/2019/12/last/444444.pnghxxp://newsinside[.]info/wp-content/uploads/2020/01/forward/44444.png
• hxxp://iike.xolva[.]com/wp-content/themes/keenshot/fast/444444.pnghxxp://deccolab[.]com/fast/444444.png
• hxxp://myrestaurant.coupoly[.]com/wp-content/uploads/2020/01/along/444444.png
• hxxp://alphaenergyeng[.]com/wp-content/uploads/2020/01/ahead/444444.png
• hxxp://claramohammedschoolstl[.]org/wp-content/uploads/2020/01/upwards/444444.pnghxxp://creationzerodechet[.]com/choice/444444.png
• hxxp://productsphotostudio[.]com/wp-content/uploads/2020/01/lane/444444.png
• hxxp://sophistproduction[.]com/wp-content/uploads/2020/01/choice/444444.png
• hxxp://uofnpress[.]ch/wp-content/uploads/2020/01/side/444444.png
• hxxp://csrkanjiza[.]rs/wp-content/uploads/2020/02/ending/444444.png

在我們的PCAP中，可以通過設(shè)置過濾選項為 http.request.uri contains .png 去尋找Qakbot可執(zhí)行文件的HTTP GET請求疮方，如圖15所示控嗜。

image

<figcaption>圖 15. Qakbot可執(zhí)行文件的URL</figcaption>

導出并檢查相關(guān)文件，如圖16-17所示骡显。

image

<figcaption>圖 16. 導出Qakbot可執(zhí)行文件</figcaption>

image

<figcaption>Figure 17. 檢查Qakbot可執(zhí)行文件</figcaption>

Post-infection HTTPS Activity

使用basic過濾選項可以幫助你快速瀏覽pcap中的web瀏覽疆栏。向下滾動到返回了Qakbot可執(zhí)行文件的HTTP GET請求alphaenergyeng[.]com之后。你可以發(fā)現(xiàn)幾個與68.1.115[.]106相關(guān)的HTTPS或SSL/TLS流量惫谤，但卻沒有顯示域名壁顶，如圖18所示。

image

<figcaption>圖 18. HTTPS溜歪、SSL/TLS 流量</figcaption>

在Qakbot感染期間若专，它的通信流量具有不同尋常的證書頒發(fā)者數(shù)據(jù)。使用下面的Wireshark過濾選項我們可以檢查Qakbot的證書發(fā)行機構(gòu)數(shù)據(jù)：

Ip.addr eq 68.1.115.106 and ssl.handshake.type eq 11

image

<figcaption>圖 19. Qakbot流量的證書頒發(fā)者數(shù)據(jù)</figcaption>

流量中的localityName蝴猪、organizationName和commonName字段內(nèi)容非常罕見调衰，通常無法在合法的HTTPS膊爪、SSL或TLS流量中見到：

• id-at-countryName=ES
• id-at-stateOrProvinceName=IA
• id-at-localityName=Uorh Ofwa
• id-at-organizationName=Coejdut Mavmtko Qxyemk Dxsjie LLC.
• id-at-commonName=gaevietovp.mobi

Other Post-infection Traffic

我們的pcap包含了其他與Qakbot感染相關(guān)的活動，每一個活動單獨來看可能并不是惡意的窖式，但結(jié)合之前的發(fā)現(xiàn)蚁飒，我們可以觀察到Qakbot感染的全貌。

Qakbot感染的另一個指標是到cdn.speedof[.]me的HTTPS流量萝喘。speedof[.]me是一個網(wǎng)聯(lián)網(wǎng)速度測試服務的合法域名淮逻，但在Qakbot感染期間我們經(jīng)常見到cdn.speedof[.]me的通信流量，如圖20所示阁簸。

image

<figcaption>圖 20. Qakbot感染中的cdn.speedof[.]me流量</figcaption>

Qakbot還可以在受感染的windows主機上打開所有瀏覽器的窗口爬早。在該沙箱分析的大約13分5秒，Qakbot先是在Windows 7主機上打開Chrome启妹，然后打開了Firefox筛严，然后打開了Internet Explorer。分析結(jié)果同時表明Qakbot產(chǎn)生了前往下列URL的流量：

• hxxp://store.nvprivateoffice[.]com/redir_chrome.html
• hxxp://store.nvprivateoffice[.]com/redir_ff.html
• hxxp://store.nvprivateoffice[.]com/redir_ie.html

nvprivateoffice[.]com在2012年就通過GoDaddy注冊了饶米，并且store.nvprivateoffice[.]com顯示了Fedora服務器上ngnix默認的web頁面桨啃。

本教程的pcap文件來自Windows 10主機，并沒有安裝Chrome或Firefox檬输，同樣地照瘾，Qakbot產(chǎn)生的URL是hxxp://store.nvprivateoffice[.]com/redir_ie.html，我們可以設(shè)置如下的過濾條件：

http.request.full_uri contains store.nvprivateoffice

image

<figcaption>圖 21. 查找受感染W(wǎng)indows主機上Qakbot打開web瀏覽器的流量丧慈。</figcaption>

追蹤以redir_ie.html結(jié)尾的兩個TCP流析命，如圖22-23所示。

image

<figcaption>圖 22. Internet Explorer 11</figcaption>

image

<figcaption>圖 23. Chromium-based Microsoft Edge</figcaption>

最后逃默，產(chǎn)生自受感染主機的pcap文件也包含了與郵件相關(guān)的TCP流量鹃愤，如SMTP、IMAP和POP3完域。設(shè)置如下的過濾選項：

tcp.flags eq 0x0002 and !(tcp.port eq 80) and !(tcp.port eq 443)

image

<figcaption>圖 25. Qakbot感染的非web流量</figcaption>

圖25顯示了到不同電子郵件協(xié)議常用的各種端口(如25软吐、110,143、465吟税、587关噪、993和995)的TCP連接。結(jié)果的前兩行顯示了到TCP端口65400的流量乌妙，但是查看相關(guān)的TCP流表明這也是與電子郵件相關(guān)的流量。

使用以下Wireshark過濾器可以更好地了解來自受感染主機的電子郵件相關(guān)流量建钥，如圖26所示:

smtp or imap or pop

image

<figcaption>圖 26. Qakbot的郵件相關(guān)流量</figcaption>

我們可以追蹤一些TCP流來更好地了解這種類型的電子郵件流量藤韵。我們通常不會看到從Windows客戶端到公共IP地址的未加密的電子郵件流量。與其他指標一起熊经，這個smtp或imap或pop過濾器可能會顯示Qakbot活動泽艘。

Conclusion

本教程主要講述了檢查Windows主機是否感染了Qakbot惡意軟件的技巧欲险。