Qakbot (diğer adıyla QBot veya Pinkslipbot), 15 yıllık evrimsel geçmişi olan bir Truva atıdır. Bir bankacılık Truva Atı olarak ortaya çıkışından bu yana, artık bir ağda yanal dağıtım ve fidye yazılımı dağıtımı için kullanılan kötü amaçlı yazılıma dönüşmeye devam etti.
Ağustos 2023'te kolluk kuvvetleri tarafından parçalanan Qakbot'un 5. versiyonu, birkaç ay sonra yayınlandı. Zscaler dayanıklı, kalıcı ve yenilikçi bir kötü amaçlı yazılımın dönüşümünü analiz etti. Son zamanlarda güvenlik araştırmacıları, tehdit aktörlerinin kod tabanlarını Windows'un 64 bit sürümlerini destekleyecek şekilde güncellediklerini keşfetti. Ayrıca şifreleme algoritmalarını geliştirdiler ve daha fazla gizleme tekniği eklediler.
Qakbot Truva Atı'nın hikayesi
Kötü amaçlı yazılım ilk olarak 2008 yılında kimlik bilgilerini çalmak ve ACH (otomatik takas odası), banka havalesi ve kredi kartı dolandırıcılığı gerçekleştirmek için bir bankacılık Truva Atı olarak geliştirildi. Qakbot'un ilk sürümleri bir tarih damgası içeriyordu ve sürüm numarası içermiyordu ancak netlik sağlamak amacıyla grafikte 1.0.0 olarak anılıyor. Başlangıçta kötü amaçlı yazılım, kaynak kısmında kötü amaçlı bir DLL ve DLL'yi çalışan işlemlere enjekte etmek için kullanılan bir araçtan oluşan iki gömülü bileşen içeren bir damlalık olarak konuşlandırıldı. İşlev yelpazesi başlangıçta SOCKS5 sunucusuyla, parola hırsızlığı işlevleriyle veya çerezleri toplayan web tarayıcısıyla zaten oldukça genişti.
Bu erken sürüm genişletildi ve 2011 sürümü 2.0.0'de tanıtıldı. Bunu çeşitli işlevler geliştirmede kilometre taşları izledi ve 2019'da Conti, ProLock, Egregor, REvil, MegaCortex ve BlackBasta gibi fidye yazılımlarını yayan banka dolandırıcılığından erişim komisyoncusuna geçiş başladı. Yıllar geçtikçe Qakbot'un anti-analiz teknikleri, kötü amaçlı yazılım korumalı alanları, antivirüs yazılımlarını ve diğer güvenlik ürünlerini atlatacak şekilde geliştirildi. Günümüzde kötü amaçlı yazılım modülerdir ve dinamik olarak yeni özellikler eklemek için eklentiler indirebilir.
Her sürüm numarası, ilgili dönemin baskın tehdit tekniklerini vurguluyordu. İlk sürümlere sabit kodlu komut ve kontrol sunucuları eşlik ediyordu; bunların yerini tespit tekniklerinin daha da geliştirilmesi ve kötü amaçlı kod içeren alan adlarının kullanımdan kaldırılması aldı. Buna yanıt olarak ağ şifrelemesi ve etki alanı oluşturma algoritması (DGA) tanıtıldı. Bununla birlikte, çeşitli alanlardan gelen taleplerle birlikte belirli bir gürültü tabanı oluştu ve Qakbot geliştiricileri, trafiği diğer virüslü sistemler arasında yönlendirmek için güvenliği ihlal edilmiş sistemleri proxy sunucular olarak kullanan yeni, çok katmanlı bir mimariye geçti. Böyle bir tasarım güncellemesi, tek nokta arıza sorununu giderdi, veri trafiğini azalttı ve C2 sunucularının gizlenmesine yardımcı oldu.
Qakbot 5.0
Sürüm 5.0 artık dizeleri kodlama algoritmasında belki de en önemli değişikliği yaptı. Dizeler hala basit bir XOR anahtarıyla şifreleniyor. Ancak XOR anahtarı artık veri alanına sabit kodlanmamıştır. Bunun yerine, AES anahtarının bir arabelleğin SHA256 karmasından türetildiği AES kullanılarak şifrelenir. İkinci bir arabellek, ilk 16 bayt olarak AES başlatma vektörünü (IV) ve ardından AES şifreli XOR anahtarını içerir. XOR anahtarının şifresi çözüldükten sonra, şifrelenmiş dizeler bloğunun şifresi çözülebilir.
Oldukça gelişmiş olan Truva Atı, 15 yıl içinde önemli ölçüde değişerek çok dayanıklı ve kalıcı bir tehdit haline geldi. 2023'teki kesintiye rağmen, kötü amaçlı yazılım grubu aktif olmaya devam ediyor ve öngörülebilir gelecekte tehdit potansiyelinden yararlanmaya devam edecek. Zscaler'in çok katmanlı bulut güvenlik platformu, yükleri tanır ve bunları Win32.Banker.Qakbot adı altında sınıflandırır.
Daha fazlası Zscaler.com'da
Zscaler Hakkında Zscaler, müşterilerin daha çevik, verimli, esnek ve güvenli olabilmesi için dijital dönüşümü hızlandırır. Zscaler Zero Trust Exchange, insanları, cihazları ve uygulamaları her yerde güvenli bir şekilde bağlayarak binlerce müşteriyi siber saldırılardan ve veri kaybından korur. SSE tabanlı Zero Trust Exchange, dünya çapında 150'den fazla veri merkezine dağıtılan dünyanın en büyük hat içi bulut güvenlik platformudur.
Konuyla ilgili makaleler