依托電子郵件傳播的銀行木馬QakBot

來源：GDCA數安時代 發布時間：2021-09-30瀏覽：2350次

近年來，QakBot已成為全球流行的銀行木馬之一。它的主要目的是竊取銀行憑證（如登錄名、密碼等）。時至今日，QakBot仍在不斷更新和發展，不斷增加新的功能并更新其模塊，以竊取信息并使收入最大化。
QakBot惡意軟件入侵后，會監視金融業務、自我傳播和安裝勒索軟件等，以便從受感染的企業機構中獲得最大收益。并且，我國是該木馬的主要攻擊國，主要針對政府、金融、企業、醫療等關鍵行業。

QakBot傳播方式
QakBot主要通過垃圾郵件傳播和感染受害者的，其電子郵件附件包含Microsoft Office文檔（Word、Excel）或帶有密碼保護的壓縮文件。包含宏的文檔會提示受害者打開附件，在某些情況下，電子郵件中包含指向傳播惡意文檔的網頁的鏈接。它還可以通過已感染機器將QakBot有效負載傳播到受害者的機器。
QakBot或劫持可信方郵件獲取信息、植入惡意程序，讓郵件不僅隱蔽性強還可繞過檢測順利抵達目標。

最近QakBot版本（2020-2021變體）的感染鏈如下：
1、用戶收到一封帶有ZIP附件的釣魚電子郵件，其中包含一份帶有嵌入宏的Office文檔或惡意鏈接。
2、用戶打開惡意附件/鏈接，并被誘導單擊“啟用內容”。
3、執行惡意宏。一些變體通過“GET”請求“PNG”，但該文件實際上是一個二進制文件。
4、加載的有效負載（stager）包括加密資源模塊。其中一個加密資源具有DLL二進制文件（加載器），該文件在運行時解密。
5、“Stager”將“Loader”加載到內存中，內存在運行時解密并運行有效負載。
6、有效負載與C2服務器通信。

典型的QakBot具有如下功能：收集主機信息；創建計劃任務；證書獲??；憑證轉儲；密碼竊?。痪W絡注入；密碼暴力破解；修改注冊表；創建副本；注入進程；收集電子郵件數據等。

值得注意的是，近期QakBot發送給目標組織的網絡釣魚電子郵件以 COVID-19 誘餌，納稅提醒和工作招聘的形式出現，不僅包含惡意內容，而且還插入了雙方之間的存檔電子郵件線程以提供信譽的空氣。Qakbot可以感染網絡共享文件夾和驅動器，包括可移動的 U 盤。如果用戶系統受到感染，建議斷開與互聯網連接以防止與服務器通信。

除QakBot銀行木馬外，還有Ursnif 銀行木馬、Emotet 銀行木馬、Gozi 銀行木馬等。俗話說，防御的前提是了解威脅，同時必須提前做好預防策略。

使用電子郵件證書
與SSL證書一樣，電子郵件證書可以對電子郵件進行加密傳輸，防止電子郵件內容被他人竊取，防止信息泄露。目前，使用電子郵件證書是保護電子郵件安全最有效的解決方法之一。
使用電子郵件證書可以對電子郵件進行數字簽名并傳輸加密，對于企業來說，可以為用戶和員工提供身份驗證，保護公司發送的重要文檔，通過身份驗證確保有權訪問在線服務器的人員。
使用電子郵件證書對電子郵件進行數字簽名并加密傳輸，可以有效防止上述情況的出現，電子郵件安全隱患，有效幫助企業減少損失，確保電子郵件的安全。