Onderzoekers hebben de versleutelde registersleutels van Qakbot Banking Trojan gedecodeerd

Los investigadores descifraron las claves de registro cifradas del troyano bancario Qakbot Nachrichten

Cybersecurity-onderzoekers hebben het mechanisme gedecodeerd waarmee de veelzijdige Qakbot banking-trojan de invoeging van versleutelde configuratiegegevens in de Windows-register.

Qakbot, ook bekend als QBot, QuackBot en Pinkslipbot, is opgemerkt in het wild sinds 2007. Hoewel het voornamelijk is ontworpen als malware voor het stelen van informatie, heeft Qakbot sindsdien zijn doelen verlegd en nieuwe functionaliteit verworven om aanvalsplatforms na het compromitteren te leveren, zoals Cobalt Strike Beacon, met als uiteindelijke doel het laden van ransomware op geïnfecteerde machines.

“Het is voortdurend ontwikkeld, met nieuwe mogelijkheden zoals laterale beweging, de mogelijkheid om e-mail- en browsergegevens te exfiltreren en om extra malware te installeren”, zeiden Trustwave-onderzoekers Lloyd Macrohon en Rodel Mendrez in een rapport dat werd gedeeld met The Hacker News.

In de afgelopen maanden hebben phishing-campagnes geleid tot de distributie van een nieuwe loader genaamd SQUIRRELWAFFLE, die fungeert als een kanaal om laatste-fase payloads zoals Cobalt Strike en QBot op te halen.

Nieuwere versies van Qakbot hebben ook de mogelijkheid gekregen om e-mail- en browsergegevens te kapen en versleutelde configuratie-informatie met betrekking tot de malware in het register in te voegen, in plaats van ze naar een bestand op schijf te schrijven als onderdeel van haar pogingen om geen spoor achter te laten van de malware. infectie.

“Hoewel QakBot niet volledig fileloos gaat, zal zijn nieuwe tactiek de detectie zeker verminderen”, onderzoekers van Hornetsecurity wees erop in december 2020.

Trustwave’s analyse van de malware is bedoeld om dit proces te reverse-engineeren en de configuratie die is opgeslagen in de registersleutel te decoderen, waarbij het cyberbeveiligingsbedrijf opmerkt dat de sleutel die wordt gebruikt om de waardegegevens van de registersleutel te coderen is afgeleid van een combinatie van computernaam, volumeserienummer, en de naam van de gebruikersaccount, die vervolgens wordt gehasht en gezouten, samen met een identificatiecode van één byte (ID).

“De SHA1 hash-resultaat wordt gebruikt als een afgeleide sleutel om de waardegegevens van de registersleutel te ontsleutelen, respectievelijk voor de ID met behulp van de RC4 algoritme”, aldus de onderzoekers, naast het beschikbaar stellen van een Op Python gebaseerd decryptor-hulpprogramma die kan worden gebruikt om de configuratie uit het register te extraheren.

David
Rate author
Hackarizona