Qbot быстро выполняет повышение привилегий, а полноценное сканирование осуществляется в течение десяти минут.
Операторы вредоносного ПО Qbot (также известного как Qakbot и QuakBot) возобновили свои атаки с целью кражи конфиденциальных данных, осуществляя их всего за 30 минут. Согласно отчету специалистов DFIR, злоумышленникам требуется полчаса, чтобы украсть данные браузера и электронные письма из Microsoft Outlook, и 50 минут, прежде чем они перейдут на соседнюю компьютерную систему.
Qbot быстро выполняет повышение привилегий сразу после заражения системы, в то время как полноценное разведывательное сканирование выполняется в течение десяти минут. Первоначальный доступ обычно осуществляется через документ Microsoft Excel (XLS), в котором используется макрос для установки DLL-загрузчика на компьютер. Затем полезная нагрузка выполняется для создания запланированной задачи через процесс msra.exe и повышает свои привилегии до системных.
Кроме того, вредоносная программа добавляет DLL-библиотеку Qbot в список исключений Защитника Windows, поэтому она не будет обнаружена при внедрении в msra.exe.
Вредоносная программа в течение 30 минут после первоначального запуска крадет электронные письма, которые затем используются для дальнейших фишинговых атак или продаются другим злоумышленникам. Qbot крадет учетные данные Windows из памяти с помощью внедрения команд в LSASS (Local Security Authority Server Service) и из web-браузеров. Они используются для перемещения по сети к другим устройствам.
Qbot перемещается ко всем компьютерным системам в сканируемой среде, копируя DLL-библиотеку на следующую цель и удаленно создавая службу для ее выполнения. В то же время предыдущая система очищается, поэтому атакованное устройство выглядит нормально. Кроме того, службы, созданные на новых устройствах, имеют параметр DeleteFlag, что приводит к их удалению при перезагрузке системы.
Операторы Qbot часто используют некоторые из скомпрометированных систем в качестве прокси-точек первого уровня для удобной маскировки и ротации адресов, а также используют несколько портов для SSL-связи с командным сервером.
Источник: securitylab