Qakbot (別名 QBot または Pinklipbot) は、15 年の進化の歴史を持つトロイの木馬です。バンキング型トロイの木馬としての起源から、マルウェアへと進化を続け、現在ではネットワーク内での横方向の配布やランサムウェアの展開に使用されています。
2023 年 5 月に法執行機関によって解体された後、数か月後に Qakbot の第 64 バージョンがリリースされました。 Zscaler は、回復力があり、永続的で革新的なマルウェアの変化を分析しました。最近、セキュリティ研究者は、攻撃者が XNUMX ビット バージョンの Windows をサポートするためにコード ベースを更新したことを発見しました。また、暗号化アルゴリズムも改善され、難読化技術がさらに追加されました。
Qakbot トロイの木馬の物語
このマルウェアはもともと、認証情報を盗み、ACH (自動手形交換所)、電信送金、クレジット カード詐欺を実行するバンキング トロイの木馬として 2008 年に開発されました。 Qakbot の初期バージョンには日付スタンプが含まれており、バージョン番号はありませんでしたが、わかりやすくするために図では 1.0.0 として参照されています。当初、マルウェアは、リソース部分に 5 つのコンポーネントが埋め込まれたドロッパーとして展開されました。このコンポーネントは、悪意のある DLL と、実行中のプロセスに DLL を挿入するために使用されるツールで構成されていました。 SOCKSXNUMX サーバー、パスワードの盗難に対する機能、または Web ブラウザーが Cookie を収集する機能など、機能の範囲は当初からすでに広範でした。
この初期バージョンは拡張され、2011 年にバージョン 2.0.0 が導入されました。その後、さまざまな機能の開発におけるマイルストーンが続き、2019 年には銀行詐欺からアクセス ブローカーへの切り替えが始まり、Conti、ProLock、Egregor、REvil、MegaCortex、BlackBasta などのランサムウェアが拡散しました。長年にわたり、Qakbot の分析対策技術は、マルウェア サンドボックス、ウイルス対策ソフトウェア、その他のセキュリティ製品をバイパスできるように改良されてきました。現在、このマルウェアはモジュール型であり、プラグインをダウンロードして新しい機能を動的に追加できます。
各バージョン番号は、それぞれの時代の支配的な脅威手法を強調しています。初期のバージョンにはハードコーディングされたコマンド アンド コントロール サーバーが付属していましたが、これは検出技術のさらなる開発と悪意のあるコードを含むドメイン名の廃止に置き換えられました。これに応えて、ネットワーク暗号化とドメイン生成アルゴリズム (DGA) が導入されました。しかし、さまざまなドメインからのリクエストにより一定のノイズ フロアが生じたため、Qakbot 開発者は、感染したシステム間でトラフィックをルーティングするプロキシ サーバーとして侵害されたシステムを使用する新しい多層アーキテクチャに移行しました。このような設計の更新により、単一障害点の問題が解決され、データ トラフィックが削減され、C2 サーバーが隠蔽されるようになりました。
Qakbot 5.0
バージョン 5.0 では、文字列をエンコードするアルゴリズムにおそらく最も重要な変更が加えられています。文字列は単純な XOR キーを使用して暗号化されます。ただし、XOR キーはデータ領域にハードコーディングされなくなりました。代わりに、AES を使用して暗号化されます。AES キーはバッファーの SHA256 ハッシュから派生します。 16 番目のバッファには、最初の XNUMX バイトとして AES 初期化ベクトル (IV) が含まれ、その後に AES 暗号化された XOR キーが含まれます。 XOR キーが復号化されると、暗号化された文字列のブロックを復号化できます。
高度に開発されたこのトロイの木馬は 15 年以内に大きく変化し、非常に回復力があり、持続的な脅威になりました。 2023 年の混乱にもかかわらず、マルウェア グループは活動を続けており、予見可能な将来においてもその潜在的な脅威を悪用し続けるでしょう。 Zscaler の多層クラウド セキュリティ プラットフォームはペイロードを認識し、Win32.Banker.Qakbot という名前で分類します。
詳細は Zscaler.com をご覧ください
ゼットスケーラーについて Zscaler はデジタル トランスフォーメーションを加速するため、顧客はより機敏で効率的、回復力があり、安全になります。 Zscaler Zero Trust Exchange は、人、デバイス、アプリケーションをどこからでも安全に接続することで、何千もの顧客をサイバー攻撃やデータ損失から保護します。 SSE ベースのゼロ トラスト エクスチェンジは、世界最大のインライン クラウド セキュリティ プラットフォームであり、世界中の 150 以上のデータ センターに分散されています。
トピックに関連する記事