Si su equipo dice Cuac puede estar contaminado con QakBot

Interceptar las operaciones bancarias es algo que se le ha dado bien a QakBot desde hace ya casi una década y ahora vuelve para demostrar que un buen proyecto de ingeniería de malware puede soportar el paso del tiempo y en este momento ya cuenta con un creciente número de bloqueos de Active Directory  AD en redes de organizaciones debido a su actual actividad.

Este gusano que apareció en 2009 tiene habilidades bastante complejas, lo que le permite llegar a la víctima, autoreplicarse en un esquema que evade antivirus y además permanecer oculto debido a su capacidad de polimorfismo. Sabotea los intentos de eliminación y deja una entrada que se ejecuta luego de cada nueva ejecución del sistema operativo. Se trata de un malware modular y es en final de cuentas su cualidad de troyano lo que le hace más peligroso; el objetivo sigue siendo el mismo… el robo de datos para interceptar la transferencia de dinero entre bancos.

 

TIMELINE

Aunque fue en el 2009 que comenzó a propagarse este malware con la intención inicial de robar credenciales de los sistemas infectados, fue a inicios del 2016 que BAE Systems detectó una nueva versión cuando mas de medio millar de computadores resultaron infectados y la operación de sus sistemas se tornó un asunto serio.

Por este tiempo la mayor parte de los afectados se encontraban en Estados Unidos, Canadá y Reino unido y los primeros blancos del ataque lo constituyeron departamentos de policía, universidades y hospitales, aunque un pequeño sector perteneciente al área académica también resultó afectado.

Recientemente a principios de Junio de este año, IBM X-Force observó que se estaba generando una gran cantidad de bloqueos de Active Directory  (AD) en redes corporativas operando con servidores Microsoft cuya causal era un malware y QakBot fue señalado como el malware bancario responsable del suceso. Como resultado del incidente, cientos de miles de usuarios quedaron sin la posibilidad de conectarse con su terminal final y se anticipa que esta oleada no ha terminado aún.

 

ESPECIFICACIONES GENERALES

CLASIFICACIÓN: GUSANO con mutación a Troyano

NOMBRE: QakBot

Alias: Backdoor:Win32/Qakbot.gen!A,  BKDR_QAKBOT.AF,  W32.Qakbot, PinkSlip

DESCRIPCIÓN: Malware financiero para interceptar credenciales que posteriormente se utilizarán para efectuar robos bancarios.

MÉTODO DE DISTRIBUCIÓN: Llega por medio de spam y se distribuye a través de carpetas compartidas y unidades extraíbles.

OBJETIVO DEL ATAQUE: Sistemas operativos Windows.

 

CARACTERÍSTICAS DE QAKBOT

Las mejoras que han sido detectadas desde la creación de QakBot se encuentran encaminadas a incrementar su capacidad para evadir detecciones y protegerle de los análisis de antivirus para su eliminación.

Se inicia como un archivo JavaScript el cual descarga, ejecuta un instalador y un rootkit de usuario mientras que permanece oculto sin causar ninguna otra señal de su presencia mientras que logra descargar el resto del paquete.

Otra característica que le ha acompañado es que posee la capacidad de mantenerse actualizado para asegurarse de ejecutar la última versión.

Los expertos han descubierto que se protege a si mismo con un complejo codificador que opera en tiempo de ejecución, así como también hace uso de varias API´s tanto cifradas como descifradas que se utilizan según sea necesario.

Es un malware modular, capaz de generar backdoors, y una vez que consigue permisos de administrador es capaz de dejar inhabilitadas las opciones de seguridad de las terminales.

De esta manera, los mecanismos de evasión clasifican a QakBot como uno de los menos comunes y a la vez más efectivos malwares para permanecer ocultos y operando.

 

ATAQUE CONTRA AD

En el análisis llevado a cabo por expertos, el ataque a los dominios de Active Directory es realizado con tres acciones:

  1. ·    Se bloquean desde cientos a miles de cuentas en sucesiones muy rápidas de forma automatizada.
  2. ·       Puede realizar intentos de manera automatizada, para iniciar sesión utilizando cuentas que no existen.
  3. ·       Puede ejecutar códigos maliciosos en carpetas compartidas de la red y registrarlas como un servicio.

 

OBTENIENDO CREDENCIALES

Es de gran importancia para QakBot hacerse de los nombres de usuario, para conseguirlo se ha observado que utiliza 3 esquemas de contraseñas que verifica.

  1. El usuario es igual que la contraseña
  2. La contraseña es el nombre del usuario pero invertido
  3. En caso de no coincidir los casos anteriores, utiliza un banco de contraseñas codificadas a modo de diccionario.

 

DROPPER

Posee un dropper al igual que los malwares de su tipo, el cual se introduce en las terminales infectadas. Para pasar desapercibido por el análisis, utiliza un delay de 10 a 15 minutos evadiendo así las revisiones que lo podrían identificar como sospechoso.

El dropper corrompe su archivo original después de la implementación, para esto hace uso de la utilidad ping.exe que invoca un comando ping que se repetirá en un loop de 6:

C: \ Windows \ System32 \ cmd.exe “/ c ping.exe -n 6 127.0.0.1 y escriba” C: \ Windows \ System32 \ autoconv.exe “en” C: \ Users \ UserName \ Desktop \ 7a172.exe

La siguiente figura corresponde a un fragmento del descargador de JavaScript

 

EN FASE TROYANO

Como se mencionó, QakBot es un malware financiero creado con el fin de robar dinero por medio de la intercepción de cuentas bancarias. Para poder realizar esto, implementa una funcionalidad de MitB (Man-in-the-blowser) inyectando código malicioso en las sesiones de banca en línea. Esto no lo realiza desde su archivo de configuración, sino a través del dominio que controla de la siguiente manera:

Hxxps: // [AttackerDomain / wbj / br / contenido / TargetBankName / TargetBankName.j

QakBot es capaz de manipular el contenido visual que los usuarios infectados perciben en sus sitios web bancarios. No siendo posible que ellos detecten que sus fondos están en realidad siendo enviados a una cuenta bancaria distinta a la solicitada. Incluso pueden ver que la transacción fue realizada con éxito y visualizar en pantalla una imagen falsa.

En la siguiente imagen, puede observarse una sección de la inyeción de código referente a la transacción bancaria.

 

PROCESO DE REPLICACIÓN Y PERSISTENCIA

La replicación se realiza en la red por medio de carpetas que se encuentren compartidas, pero en el caso de que estás estuviesen protegidas con contraseñas, QakBot intentará adivinar el password utilizando una larga lista de contraseñas comunes.

Permite un segundo nivel de polimorfismo, en el cual el malware puede recompilrarse y cifrarse nuevamente cambiando la muestra y generando una estructura diferente.

Los encargados de controlar el malware tienen la capacidad de ofrecer un nuevo archivo de configuración con diferentes dominios C&C y Ftp. Las nuevas versiones son enviadas a otras terminales asegurándose de que toda la red cuente con la versión actualizada.

La nueva capacidad de QakBot de bloquear los AD lo hace especialmente difícil de detectar y eliminar de una red de entorno empresarial y por si fuera poco, para mantenerse activo después de los reinicios del sistema y los intentos de eliminación, QakBot genera mecanismos de persistencia en los sistemas de destino por medio de una clave de ejecución del registro “\ CurrentVersion \ Run” para iniciarse automáticamente después de cada nueva ejecución del sistema operativo.

Otra capa de persistencia de QakBot es el crear tareas recurrentes, nombradas y programadas a través de “schtasks.exe” para ejecutarse en intervalos de tiempo programados y de esta manera asegurarse de que no se ha inhabilitado o eliminado.

 

DATOS COMÚNMENTE EXTRAIDOS POR QAKBOT

Los datos que los criminales detrás de QakBot roban para posteriormente enviar a un servidor FTP se encuentran:

  • Dirección IP;
  • Nombre del usuario;
  • Dominio;
  • DNS;
  • Versiones de sistema operativo;
  • Nombre del host;
  • Nombre de usuario;
  • Software instalado;
  • Nombre de la cuenta y credenciales del servidor web;
  • Servidor SMTP;
  • Direcciones de correo electrónico

 

INDICADORES DE COMPROMISO

Malware dropper MD5:

2C5901F06E6211BB7F6D22AB3376C22C

A1593E2DC521EA8F66BB727B4725EC2C

Malware MD5:

8a3ab5d3fa3644ec1829e7825b0a22a3

08BACFFCC1E4DF896670047790373497

847BCDB4F5C2EBA96E8943430C4402C8

servidores hardcoded C2 de QakBot:

96[.]67[.]244[.]225:443

96[.]3[.]92[.]39:443

173[.]31[.]254[.]105:443

192[.]158[.]217[.]32:993

181[.]165[.]242[.]18:443

90[.]211[.]106[.]62:443

70[.]97[.]146[.]196:443

50[.]124[.]113[.]135:443

97[.]64[.]195[.]106:993

47[.]21[.]79[.]34:443

47[.]21[.]79[.]34:465

124[.]168[.]105[.]52:2222

173[.]71[.]99[.]106:993

73[.]166[.]94[.]110:443

89[.]43[.]179[.]209:443

180[.]93[.]148[.]41:443

68[.]115[.]254[.]146:443

73[.]166[.]43[.]103:443

209[.]136[.]9[.]64:443

76[.]17[.]137[.]223:443

47[.]21[.]79[.]34:995

74[.]65[.]227[.]38:443

24[.]91[.]39[.]131:2222

74[.]101[.]41[.]97:443

50[.]134[.]209[.]66:443

24[.]45[.]150[.]163:443

24[.]123[.]151[.]58:443

76[.]8[.]200[.]134:443

105[.]227[.]251[.]148:443

132[.]206[.]59[.]132:443

211[.]27[.]18[.]233:995

174[.]51[.]185[.]121:465

24[.]184[.]200[.]177:2222

96[.]67[.]244[.]225:443

184[.]90[.]203[.]138:995

68[.]53[.]54[.]125:443

98[.]113[.]137[.]220:443

86[.]27[.]41[.]234:443

91[.]93[.]4[.]222:443

50[.]101[.]245[.]7:2222

 

REMEDIACIÓN

Para eliminar de la red a QakBot siga los siguientes pasos.

1.- Deshabilite la ejecución automática en todos los sistemas de la red mediante un objeto de directiva de grupo (GPO) en Windows o una directiva de control de dispositivos y aplicaciones (ADC).

2.- Deshabilitar el programador de tareas de Windows en todos los sistemas de la red.

 

3.- Repare todos los sistemas con los últimos parches de seguridad de Microsoft. Se han utilizado las siguientes vulnerabilidades para propagar esta amenaza:

4.- Bloquear todas las comunicaciones W32.Qakbot conocidas a servidores externos. Esto está diseñado para prevenir la amenaza de descargar una nueva variante

5.- Si después de tomar todos los pasos anteriores, las reinfecciones continúan ocurriendo, puede ser necesario inhabilitar todas las acciones abiertas (es decir, C $) y reevaluar la postura de seguridad de la red con respecto al uso compartido de archivos y el uso de Windows (Cuentas administrativas de usuario).

CONCLUSIÓN

Resulta fundamental garantizar que en la red empresarial los sistemas de detección de malware se encuentren actualizados, así como mantener a los usuarios capacitados en el conocimiento de técnicas de seguridad que les permitan desarrollar habilidades para detectar correos sospechosos o comportamientos fuera de lo normal en las páginas que acceden.

En cuando a la red se refiere, configurar las cuentas de dominio con el privilegio mínimo necesario para que los usuarios pueden realizar sus tareas.

Se recomienda también crear una cuenta de administrador de dominio aleatoria que reporte al SIEM cuando se utilice, así como una cuenta especial de emergencia que pueda permitir que los encargados de IT recuperen los servicios cuando los usuarios de la red están bloqueados.

Referencias:

https://securityintelligence.com/qakbot-banking-trojan-causes-massive-active-directory-lockouts/

Share with your friends










Submit
Tags: