鼻祖Qbot银行木马攻击金融机构 导致AD活动目录用户账户大量锁定 能对抗杀软和分析

ibm 安全研究人员警告称, 最近恶意软件引发的活动目录 (ad) 锁定影响了许多组织, 这似乎是 Qbot 银行恶意软件造成的。 成百上千的 ad 用户在快速连续的情况下被锁在公司的域之外, 从而阻止受影响的组织的员工访问他们的端点、公司服务器和网络资产。

Qbot在2009年首次发现,由于长时间的不活动, Qbot 继续被放在最活跃的恶意软件家族的前10名单的底部, 可以称得上是同类别中最古老的威胁之一。

Qbot 银行木马正在攻击金融机构

这些事件显然影响了许多组织, Qbot 银行木马 (也称为 Qakbot, Quakbot, 或 PinkSlip) 是罪魁祸首。金融恶意软件的目的是针对企业和从银行帐户窃取资金, 而能够通过自我复制通过共享驱动器和可移动媒体传播像蠕虫。

ibm 的Michael Oppenheim透露,该木马在2009年首次发现, 随着时间的推移,恶意软件已经进行了大量的改进,这是安全小组第一次发现 Qbot 导致 ad 账户大量锁定。目前的活动主要集中在美国的商业银行服务, 包括财政部、企业银行和商业银行。

虽然它只是一个蠕虫组件, 但是一个功能齐全的银行木马, 挤满了 "强大的信息窃取功能,包括 窥探用户的银行活动, 并最终诈骗他们的巨额资金

新版 Qbot 银行木马的功能特性

该恶意软件的特点是模块化设计, 是多线程的, 包括用于窃取网上银行凭证的组件, 实现后门, 并创建一个SOCKS 代理。Qbot恶意软件还具有广泛的 对抗分析的功能, 并且可以禁用安全程序在终端上运行,除非它具有管理员权限。

恶意软件还使用不同于其类中其他木马所使用的检测规避机制:

"在感染新的终端时, 恶意软件使用快速变异,让防病毒系统不停的猜测。它对恶意软件文件进行了细微的修改, 并在其他情况下编译了整个代码以使其看起来无法辨认, "

Qbot 使用Dropper进行分发, 通常使用延迟执行来逃避检测。在部署之后, dropper会毁掉自己的文件, 并注入到 windows autoconv.exe 命令。它使用注册表 runkey 和计划任务来自动加载自己。

在最近的攻击中, 还观察到该恶意软件执行三个特定的操作来攻击 active directory 活动目录域:

  • 它会执行快速session,从而快速连续地锁定成百上千个帐户
  • 会尝试执行自动登录,但有些账户根本不存在;
  • 它会将恶意的可执行文件部署到网络共享, 并将其注册为服务。

Oppenheim说:

如果它们可以从域控制器 (dc) 获得,恶意软件会使用受影响用户的凭据以及相同用户的登录和域凭据的组合,试图访问和感染网络中的其他机器,

Qbot 要么收集受感染机器的用户名,要么使用硬编码的用户名列表,然后使用它进行大范围感染 。木马程序在尝试将用户名与各种密码匹配时,使用三个密码的方案。它还枚举目标计算机的网络共享, 并尝试将其自身复制到过去。

由于具有 man-in-the-browser (MitB) 功能, 恶意软件可以将恶意代码注入在线银行会话中, 并从它所控制的域中获取这些脚本,这样木马程序就可以显示假登录页, 诱使用户输入其登录凭据。

man-in-the-browser类似中间人攻击方法

Blackmoon 恶意软件窃取用户凭据的方法,类似于先前的 variants–attackers,也是用man-in-the-browser方法。据称, 2016年7月,Blackmoon 恶意软件就是用这种方法窃取了15万韩国人的凭据。

Man-in-the-browser跟man-in-the-middle(中间人攻击)有点类似,浏览器(IE, firefox)被木马感染后,木马可以修改web页面,修改或者添加http(s)中的任何数据。而这个过程中用户和服务器都不知晓

Qbot木马窃取的用户信息相当多

Qbot木马还能够窃取用户信息, 如按键、缓存凭据、数字证书、http 会话身份验证数据、cookie (包括身份验证令牌和 flash cookie) 以及 ftp 和 POP3 凭据。

它还向服务器发送有关系统、ip 地址、dns 名称的信息, 主机名、用户名、域、用户权限、os 版本、网络接口 (地址、网掩码和状态)、安装的软件、来自端点的受保护存储的凭据、帐户名和 web 服务器凭据、连接类型、POP3 用户名、服务和密码以及 smtp 服务器和电子邮件地址。

为了针对商业银行部门, 该恶意软件也知道有针对性的组织在卫生医疗和教育行业的攻击, 因为它的作者已经增加了其代码的改进, 以加强持久性驻留机制, 对抗防病毒软件,对抗技术分析的能力。

"研究人员认为, 一个封闭的, 有组织的网络犯罪团伙, 在东欧负责运营 QakBot,"

原文发布时间:2017年6月5日 

本文由:securityWeek发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/qbot-banking-trojan-make-ad-accounts-lockout#

时间: 2024-12-03 20:06:35

鼻祖Qbot银行木马攻击金融机构 导致AD活动目录用户账户大量锁定 能对抗杀软和分析的相关文章

证书服务-java访问AD活动目录报错 在线等

问题描述 java访问AD活动目录报错 在线等 最近在写向AD里面插入用户名和密码的代码,用ldap协议和389端口时可以向AD里面插入无密码的用户,现在改用ldaps方式和636端口后却连不上AD了,郁闷了好多天了,求大神帮助... 注:AD服务和证书服务没有在一台服务器上,我已经在证书服务器上下载了.cer文件,并导入到了d:/zhouwd.keystore文件里. 代码: Hashtable env = new Hashtable(); String adminName = "xdadmi

使用VisualStudio,.Net技术调取AD活动目录

问题描述 哪位高手能帮我解答一下,我想来想去没想通这个是什么意思,我部长还对我说哪怕你用HTML写,只要能够跳出来AD活动目录就可以了~跪求高手解答!!怎么写啊~~~~ 解决方案 解决方案二:就是用DirectoryEntry操作ADdirectory了.参考解决方案三:该回复于2012-02-02 09:05:59被版主删除解决方案四:引用1楼findcaiyzh的回复: 就是用DirectoryEntry操作ADdirectory了.参考http://www.codeproject.com/

Necurs僵尸网络攻击美国金融机构 利用Trickbot银行木马窃取账户信息和欺诈

在2016年9月, Fidelis公司发现变种木马TrickBot ,近日, Necurs僵尸网络 向美国金融机构传播 Trickbot 恶意软件, 与此同时,新的 Emotet 银行木马攻击被发现-信令愈发复杂的攻击. Necurs僵尸网络攻击美国金融机构 Necurs僵尸网络已经开始向美国的金融机构内传播Trickot 银行木马, 预示着金融行业正在遭受规模更大.复杂度更高的攻击.Trickbot, 一种专门针对金融企业的威胁, 自2016年以来一直隐藏在Man-in-the-browser

CDN藏毒!Facebook内容分发网络CDN携带银行木马Banker.ADYV

恶意软件 团伙利用Facebook内容交付网络(CDN)服务器存储恶意文件,并用银行木马病毒感染用户.近期利用可信域名进行恶意软件分发的例子多起来了,比如9月5日的 攻击者利用美国政府网站高信誉度用于投放Cerber勒索软件 过去两周内,研究人员观察到多个利用Facebook CDN服务器存储恶意payload的攻击活动.该攻击团伙之前还曾利用Dropbox和谷歌云存储服务存储恶意payload.利用谷歌和Dropbox URL发起攻击发生在7月,是由位于帕洛阿尔托的Brad Duncan记录的

win2008r2 AD用户账户的批量导入方法_win服务器

如何导入大批量的用户账户?是我们在2008R2安装搭建好之后需要考虑的一件事情. 方法就是把用户信息在Excel文档里面整理好,然后再用命令或者脚本导入到AD里面. 当然,方法是越简单越好,需要我们修改的越少越好. 我们首先从人事部门拿到一份员工的名册的excel表格 对我们来说,重要的是姓名和工号,部门这3个.当然对于AD管理员来说用户账户的信息越详细越好 下面我们来编辑这些资料: 首先增加2列,登录名和密码 然后把表格另存为C:\\aduserdata.csv (在DC上) 把csv的文件关

安卓银行木马新增“keylogger”功能,攻击能力倍增

本文讲的是安卓银行木马新增"keylogger"功能,攻击能力倍增, 网络犯罪者们在实施犯罪时,已经变得越来越熟练,攻击也越来越隐秘,攻击方式也越来越新颖.现如今,他们正在慢慢的从传统攻击方式向隐秘性攻击技术转变,需要的攻击载体越来越少,攻击更难被检测. 上个月中旬,卡巴斯基实验室高级恶意软件分析师RomanUnuchek发现,著名的安卓银行木马Svpeng利用了安卓 Accessibility Services(辅助功能)的优势,新增加了键盘记录功能,也就是说攻击者通过受害者敲击输入

亚信安全预警:移动银行木马活跃度升级 恐成黑客攻击跳板

近日,亚信安全网络安全监测实验室在监测统计分析中发现,移动恶意软件呈现爆发趋势,银行木马威胁尤为严重,这与当下贪婪的不法分子追逐金钱实质利益息息相关.其中一种被命名为"Svpeng"的移动银行木马不仅会窃取受害者的账号密码,还会控制设备窃取短信.通讯录,甚至会锁定设备勒索赎金.亚信安全技术总经理蔡昇钦认为,"当前BYOD大行其道,恶意软件爆发的移动设备恐将成为黑客进入企业网络环境的跳板,企业应当提高警惕". 移动设备恶意威胁爆发升级 亚信安全2016年移动威胁报告显

移动银行木马活跃度升级 恐成黑客攻击跳板

近日,亚信安全网络安全监测实验室在监测统计分析中发现,移动恶意软件呈现爆发趋势,银行木马威胁尤为严重,这与当下贪婪的不法分子追逐金钱实质利益息息相关.其中一种被命名为"Svpeng"的移动银行木马不仅会窃取受害者的账号密码,还会控制设备窃取短信.通讯录,甚至会锁定设备勒索赎金.亚信安全技术总经理蔡昇钦认为,"当前BYOD大行其道,恶意软件爆发的移动设备恐将成为黑客进入企业网络环境的跳板,企业应当提高警惕". 移动设备恶意威胁爆发升级 亚信安全2016年移动威胁报告显

BankBot银行木马重现江湖,攻击的424款合法银行app

BankBot银行木马重现江湖,攻击的424款合法银行app 前言 BankBot首次发现于今年一月份.当时一款未命名银行木马的源代码出现在地下黑市,随后被整合成BankBot. 截至目前,它的攻击目标是位于俄罗斯.英国.奥地利.德国和土耳其的银行.如今这款恶意软件卷土重来,进行伪装后绕过谷歌安全扫描器. BankBot设法绕过谷歌应用商店安全检查 截止4月份,研究人员已发现了三起不同的BankBot攻击活动,且谷歌已拿下受感染的app. 但现在多家安全公司又发现了BankBot的踪迹.一家荷兰