Qakbot の 15 年間 – 振り返り

17。 月2024
| コメントはありません
Qakbot の 15 年間 – 振り返り

投稿を共有する

Qakbot (別名 QBot または Pinklipbot) は、15 年の進化の歴史を持つトロイの木馬です。バンキング型トロイの木馬としての起源から、マルウェアへと進化を続け、現在ではネットワーク内での横方向の配布やランサムウェアの展開に使用されています。

2023 年 5 月に法執行機関によって解体された後、数か月後に Qakbot の第 64 バージョンがリリースされました。 Zscaler は、回復力があり、永続的で革新的なマルウェアの変化を分析しました。最近、セキュリティ研究者は、攻撃者が XNUMX ビット バージョンの Windows をサポートするためにコード ベースを更新したことを発見しました。また、暗号化アルゴリズムも改善され、難読化技術がさらに追加されました。

Qakbot トロイの木馬の物語

このマルウェアはもともと、認証情報を盗み、ACH (自動手形交換所)、電信送金、クレジット カード詐欺を実行するバンキング トロイの木馬として 2008 年に開発されました。 Qakbot の初期バージョンには日付スタンプが含まれており、バージョン番号はありませんでしたが、わかりやすくするために図では 1.0.0 として参照されています。当初、マルウェアは、リソース部分に 5 つのコンポーネントが埋め込まれたドロッパーとして展開されました。このコンポーネントは、悪意のある DLL と、実行中のプロセスに DLL を挿入するために使用されるツールで構成されていました。 SOCKSXNUMX サーバー、パスワードの盗難に対する機能、または Web ブラウザーが Cookie を収集する機能など、機能の範囲は当初からすでに広範でした。

この初期バージョンは拡張され、2011 年にバージョン 2.0.0 が導入されました。その後、さまざまな機能の開発におけるマイルストーンが続き、2019 年には銀行詐欺からアクセス ブローカーへの切り替えが始まり、Conti、ProLock、Egregor、REvil、MegaCortex、BlackBasta などのランサムウェアが拡散しました。長年にわたり、Qakbot の分析対策技術は、マルウェア サンドボックス、ウイルス対策ソフトウェア、その他のセキュリティ製品をバイパスできるように改良されてきました。現在、このマルウェアはモジュール型であり、プラグインをダウンロードして新しい機能を動的に追加できます。

各バージョン番号は、それぞれの時代の支配的な脅威手法を強調しています。初期のバージョンにはハードコーディングされたコマンド アンド コントロール サーバーが付属していましたが、これは検出技術のさらなる開発と悪意のあるコードを含むドメイン名の廃止に置き換えられました。これに応えて、ネットワーク暗号化とドメイン生成アルゴリズム (DGA) が導入されました。しかし、さまざまなドメインからのリクエストにより一定のノイズ フロアが生じたため、Qakbot 開発者は、感染したシステム間でトラフィックをルーティングするプロキシ サーバーとして侵害されたシステムを使用する新しい多層アーキテクチャに移行しました。このような設計の更新により、単一障害点の問題が解決され、データ トラフィックが削減され、C2 サーバーが隠蔽されるようになりました。

Qakbot 5.0

バージョン 5.0 では、文字列をエンコードするアルゴリズムにおそらく最も重要な変更が加えられています。文字列は単純な XOR キーを使用して暗号化されます。ただし、XOR キーはデータ領域にハードコーディングされなくなりました。代わりに、AES を使用して暗号化されます。AES キーはバッファーの SHA256 ハッシュから派生します。 16 番目のバッファには、最初の XNUMX バイトとして AES 初期化ベクトル (IV) が含まれ、その後に AES 暗号化された XOR キーが含まれます。 XOR キーが復号化されると、暗号化された文字列のブロックを復号化できます。

高度に開発されたこのトロイの木馬は 15 年以内に大きく変化し、非常に回復力があり、持続的な脅威になりました。 2023 年の混乱にもかかわらず、マルウェア グループは活動を続けており、予見可能な将来においてもその潜在的な脅威を悪用し続けるでしょう。 Zscaler の多層クラウド セキュリティ プラットフォームはペイロードを認識し、Win32.Banker.Qakbot という名前で分類します。

詳細は Zscaler.com をご覧ください

 

ゼットスケーラーについて

Zscaler はデジタル トランスフォーメーションを加速するため、顧客はより機敏で効率的、回復力があり、安全になります。 Zscaler Zero Trust Exchange は、人、デバイス、アプリケーションをどこからでも安全に接続することで、何千もの顧客をサイバー攻撃やデータ損失から保護します。 SSE ベースのゼロ トラスト エクスチェンジは、世界最大のインライン クラウド セキュリティ プラットフォームであり、世界中の 150 以上のデータ センターに分散されています。

 

トピックに関連する記事

5G環境を保護するサイバーセキュリティプラットフォーム

サイバーセキュリティの専門家であるトレンドマイクロが、組織の拡大し続ける攻撃対象領域を保護するためのプラットフォームベースのアプローチを発表しました。 ➡続きを読む

データ操作、過小評価されている危険性

毎年 31 月 XNUMX 日の世界バックアップの日は、最新の簡単にアクセスできるバックアップの重要性を思い出させるものです。 ➡続きを読む

セキュリティリスクとしてのプリンター

企業のプリンター群はますます盲点になりつつあり、その効率性とセキュリティーに関して大きな問題を引き起こしています。 ➡続きを読む

AI 法とそのデータ保護への影響

AI 法により、AI に関する最初の法律が承認され、AI アプリケーションのメーカーに 6 か月から 6 か月の猶予期間が与えられました。 ➡続きを読む

Windows オペレーティング システム: 約 200 万台のコンピュータが危険にさらされています

Windows 7 および 8 オペレーティング システムのアップデートはもうありません。これは、セキュリティ上のギャップが開いていることを意味するため、価値があり、 ➡続きを読む

エンタープライズ ストレージ上の AI がランサムウェアとリアルタイムで戦う

NetApp は、ランサムウェアと戦うために人工知能 (AI) と機械学習 (ML) をプライマリ ストレージに直接統合した最初の企業の 1 つです ➡続きを読む

ゼロトラスト データ セキュリティのための DSPM 製品スイート

データ セキュリティ体制管理 (略して DSPM) は、企業が多数のデータに対するサイバー回復力を確保するために不可欠です。 ➡続きを読む

データ暗号化: クラウド プラットフォームのセキュリティを強化

最近では Trello など、オンライン プラットフォームがサイバー攻撃の標的になることがよくあります。クラウドでより効果的なデータ暗号化を実現する 5 つのヒント ➡続きを読む

 

広報メッセージ
, , , ,