日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

近期，美國(guó)司法部宣布，在一項(xiàng)由FBI牽頭、名為“獵鴨行動(dòng)”的行動(dòng)中，來(lái)自美國(guó)、法國(guó)、德國(guó)、荷蘭、英國(guó)、羅馬尼亞和拉脫維亞的多國(guó)執(zhí)法部門(mén)聯(lián)合端掉了老牌僵尸網(wǎng)絡(luò)Qakbot。該行動(dòng)不僅摧毀了其基礎(chǔ)設(shè)施，還在全球“拯救”了70萬(wàn)臺(tái)受感染的設(shè)備。

執(zhí)法部門(mén)認(rèn)為，Qakbot與全球至少 40 起針對(duì)公司、醫(yī)療保健供應(yīng)商和政府機(jī)構(gòu)的勒索軟件攻擊存在關(guān)聯(lián)，造成了數(shù)億美元的損失。FBI局長(zhǎng)克里斯托弗·雷 (Christopher Wray) 表示，此次執(zhí)法行動(dòng)已徹底消滅了這個(gè)影響深遠(yuǎn)的網(wǎng)絡(luò)犯罪供應(yīng)鏈。

為何Qakbot如此臭名昭著，它到底有何能耐，它又是如何在此次執(zhí)法行動(dòng)中突然隕落的？

誕生自15年前的Qakbot

Qakbot也被稱為“Qbot”和“Pinkslipbot”，在互聯(lián)網(wǎng)全面普及的早期就開(kāi)始針對(duì)銀行展開(kāi)攻擊活動(dòng)，首次在野外發(fā)現(xiàn)的時(shí)間為2008年。根據(jù)Check Point的分析，Qakbot背后由東歐網(wǎng)絡(luò)犯罪分子運(yùn)營(yíng)，數(shù)年來(lái)一直在不斷發(fā)展和維護(hù)，逐漸成為如瑞士軍刀般多功能性的惡意軟件。在2023年6月發(fā)布的《全球威脅指數(shù)》報(bào)告中，Qakbot成為上半年最猖獗的惡意軟件，并連續(xù)5個(gè)月榮登榜首。

2023上半年惡意軟件排行（Check Point）

Qakbot最初是以竊取銀行憑證、網(wǎng)站 Cookie 和信用卡信息為主的銀行木馬，并陸續(xù)具備了鍵盤(pán)記錄、后門(mén)功能和逃避檢測(cè)等諸多功能。鑒于自身越發(fā)強(qiáng)大的能力，Qakbot逐漸演變成一種惡意軟件交付服務(wù)，已被包括 Conti、ProLock、Egregor、REvil、MegaCortex 和 Black Basta等許多著名勒索軟件組織用作初始感染手段，以實(shí)施勒索軟件攻擊、數(shù)據(jù)竊取和其他惡意網(wǎng)絡(luò)活動(dòng)。

典型樣本分析

在被廣泛分析的2020-2021變種版本中，卡巴斯基總結(jié)了Qakbot 的感染連：

• 目標(biāo)收到一封帶有附件或鏈接的網(wǎng)絡(luò)釣魚(yú)電子郵件;
• 打開(kāi)惡意附件/鏈接并被誘騙點(diǎn)擊“啟用內(nèi)容”;
• 執(zhí)行惡意宏，加載的有效負(fù)載(Stager)包括另一個(gè)包含加密資源模塊的二進(jìn)制文件;
• 有效負(fù)載將“Loader”加載到內(nèi)存中，內(nèi)存在運(yùn)行時(shí)解密并運(yùn)行有效負(fù)載;
• 有效負(fù)載與 C2 服務(wù)器通信;
• 將ProLock 勒索軟件等其他威脅推送到受感染的設(shè)備。

Qakbot感染鏈（卡巴斯基）

Qakbot包含的惡意附件或超鏈接的釣魚(yú)郵件包括回復(fù)鏈電子郵件攻擊，即威脅行為者使用竊取的電子郵件線程，然后用自己的郵件和附件惡意文檔進(jìn)行回復(fù)。一旦安裝在目標(biāo)設(shè)備上，Qakbot就會(huì)部署勒索軟件等下一階段的有效負(fù)載，并把受感染設(shè)備變?yōu)榻┦W(wǎng)絡(luò)的一部分，向其他設(shè)備發(fā)送釣魚(yú)郵件進(jìn)行滲透。

Qakbot 回復(fù)鏈網(wǎng)絡(luò)釣魚(yú)電子郵件

釣魚(yú)郵件包含惡意文檔作為附件或鏈接，用于在目標(biāo)設(shè)備上安裝 Qakbot惡意文件。而Qakbot的活絡(luò)之處也在于能夠不斷更新傳遞其有效負(fù)載的 Windows 文件格式。

防不勝防的多種文件“誘餌”

根據(jù)Zscaler的研究，Qakbot能夠?yàn)E用包括PDF、HTML、XHTML（擴(kuò)展 HTML）、WSF（Windows 腳本文件）、JS（Javascript）、PS（Powershell）、XLL（Excel 插件）、HTA（HTML 應(yīng)用程序）、 XMLHTTP等多種文件格式，僅在今年上半年，Qakbot在釣魚(yú)郵件中就變換了多種文件載體。今年年初，Qakbot 開(kāi)始通過(guò) OneNote 文件傳播，而到了3月，又開(kāi)始使用 PDF 和 HTML 文件作為初始攻擊向量來(lái)下載更多階段文件。

OneNote被認(rèn)為是具有吸引力的攻擊載體，因其應(yīng)用廣泛，且支持嵌入各類腳本文件，被Qakbot大規(guī)模濫用，通過(guò)包含惡意的 VBS 或 HTA、LNK 快捷方式作為附件，當(dāng)受害目標(biāo)不慎點(diǎn)擊其中攜帶的附件，就可能觸發(fā)一連串訪問(wèn)請(qǐng)求Powershell.exe 執(zhí)行的惡意行為。

在以PDF文件為誘餌的攻擊活動(dòng)中，研究人員觀察到這類附件通常以發(fā)票、報(bào)告等字樣誘導(dǎo)用戶點(diǎn)擊，文件中包含混淆的 JS (Javascript) 文件，能夠創(chuàng)建注冊(cè)表項(xiàng)，并使用 reg.exe 命令行工具將 base64 編碼的 Powershell 命令添加到注冊(cè)表項(xiàng)中，從而實(shí)現(xiàn) Qakbot DLL 的下載和執(zhí)行。

以PDF 作為初始攻擊向量的攻擊鏈（Zscaler）

而對(duì)HTML的利用，則是以HTML走私（HTML smuggling）的形式傳遞其初始攻擊負(fù)載。在研究人員發(fā)現(xiàn)的幾封釣魚(yú)郵件中，Qakbot正利用拉丁語(yǔ)主題的 HTML 文件來(lái)促進(jìn)ZIP文檔的下載。這些檔案同樣包含混淆的 JS 文件，并啟動(dòng)類似于PDF文件的感染序列，最終實(shí)現(xiàn)Qakbot 有效負(fù)載的傳遞。

在上述利用活動(dòng)僅僅過(guò)去一個(gè)月之后，到了4月份，Qakbot開(kāi)始使用WSF（Windows腳本文件）實(shí)施感染，其中包含一個(gè)十六進(jìn)制編碼的XMLHTTP請(qǐng)求來(lái)下載Qakbot有效負(fù)載，取代了之前的base64編碼的PowerShell命令。

防御規(guī)避策略

就在Qakbot濫用各類文件之際，研究人員也注意到它在防御規(guī)避策略上的不斷更新。除了攻擊鏈的變化之外，Qakbot 還引入了復(fù)雜的技術(shù)，包括使用 conhost.exe 和 DLL 側(cè)面加載的間接命令執(zhí)行，使其檢測(cè)和刪除進(jìn)一步復(fù)雜化。

Qakbot 通過(guò) conhost.exe 使用間接命令執(zhí)行（Zscaler）

在此攻擊鏈中，Qakbot 利用 conhost.exe 作為代理二進(jìn)制文件，避開(kāi)限制使用典型命令行解釋器的安全反制措施。這攻擊者能夠使用各種 Windows 實(shí)用程序執(zhí)行命令，從而巧妙地轉(zhuǎn)移視線，使安全工具更難有效識(shí)別和緩解威脅。

為了進(jìn)一步掩蓋其活動(dòng)，Qakbot 還利用 conhost.exe，將其作為執(zhí)行特定命令的中介。這種策略是 Qakbot 在被入侵系統(tǒng)內(nèi)隱秘運(yùn)行的戰(zhàn)略的一部分，傳統(tǒng)安全機(jī)制可能主要側(cè)重于直接檢測(cè)惡意代碼的執(zhí)行，進(jìn)而對(duì)其進(jìn)行忽略。

此外，通過(guò)隱藏可執(zhí)行 (EXE) 文件的 ZIP 文件，在目標(biāo)點(diǎn)擊后加載一個(gè)隱藏的動(dòng)態(tài)鏈接庫(kù) (DLL)，該庫(kù)使用curl 命令下載最終的 Qakbot 有效負(fù)載。通過(guò)合并 DLL 側(cè)加載，能允許Qakbo間接執(zhí)行代碼并逃避傳統(tǒng)的檢測(cè)機(jī)制，從而為攻擊增加了一層額外的復(fù)雜性。

可見(jiàn)，Qakbot具有較強(qiáng)的靈活性與復(fù)雜性，在其攻擊鏈中采用了多種文件格式何難以捉摸的混淆方法，使其能夠逃避傳統(tǒng)防病毒軟件的檢測(cè)，進(jìn)而更加有效地感染目標(biāo)設(shè)備。

Qakbot的隕滅

由于Qakbot持續(xù)多年的興風(fēng)作浪，尤其是今年上半年的活動(dòng)激增，被執(zhí)法部門(mén)視為眼中釘只是遲早的事，但讓Qakbot可能沒(méi)想到的是，這一天來(lái)得有些措手不及。

8月29日，“獵鴨行動(dòng)”的領(lǐng)導(dǎo)者——美國(guó)FBI正式宣布了針對(duì)Qakbot的聯(lián)合執(zhí)法行動(dòng)的勝利，稱這是美國(guó)主導(dǎo)的有史以來(lái)最大規(guī)模的針對(duì)僵尸網(wǎng)絡(luò)的執(zhí)法行動(dòng)之一。隨著相關(guān)行動(dòng)細(xì)節(jié)的公開(kāi)，讓我們能夠詳細(xì)再現(xiàn)這一龐大僵尸網(wǎng)絡(luò)的覆滅過(guò)程。

來(lái)自FBI的滲透行動(dòng)

據(jù)美國(guó)司法部發(fā)布的扣押令申請(qǐng)，F(xiàn)BI從8月25日開(kāi)始獲得了對(duì) Qakbot 僵尸網(wǎng)絡(luò)的訪問(wèn)權(quán)限。根據(jù)調(diào)查，F(xiàn)BI利用了三個(gè)層級(jí)的命令和控制服務(wù)器（C2），這些服務(wù)器用于發(fā)出命令來(lái)執(zhí)行、安裝惡意軟件更新以及將其他合作惡意軟件有效負(fù)載下載到目標(biāo)設(shè)備。

FBI表示，第一級(jí)服務(wù)器為安裝了“超級(jí)節(jié)點(diǎn)”模塊的受感染設(shè)備，該模塊充當(dāng)僵尸網(wǎng)絡(luò)C2基礎(chǔ)設(shè)施的一部分，其中一些位于美國(guó)。第二級(jí)服務(wù)器同樣也是C2，但大多是美國(guó)境外租用的服務(wù)器。而第一級(jí)和第二級(jí)服務(wù)器均用于中繼與第三級(jí)服務(wù)器的加密通信，第三級(jí)為中央命令和控制服務(wù)器，用于發(fā)布需要執(zhí)行的新命令、需要下載的新惡意軟件模塊以及安裝來(lái)自其他合作伙伴的惡意軟件。

FBI在滲透到Qakbot 的基礎(chǔ)設(shè)施和管理員設(shè)備后，訪問(wèn)了用于與這些服務(wù)器通信的加密密鑰。利用這些密鑰，F(xiàn)BI 使用受其控制的受感染設(shè)備來(lái)聯(lián)系每臺(tái)第一級(jí)服務(wù)器，并用執(zhí)法部門(mén)創(chuàng)建的模塊替換已安裝的 Qakbot“超級(jí)節(jié)點(diǎn)”模塊，該模塊使用了 Qakbot 管理及操作者所不知的加密密鑰，有效地將他們鎖定在自己的C2基礎(chǔ)設(shè)施之外，使其不再有任何方式與第一級(jí)服務(wù)器進(jìn)行通信。

終結(jié)Qakbot進(jìn)程

在隔絕C2間的通信之后，F(xiàn)BI利用一個(gè)自定義 Windows DLL充當(dāng)卸載工具，并從現(xiàn)已被劫持的第一級(jí)服務(wù)器推送到受感染的設(shè)備。根據(jù) SecureWorks對(duì) FBI 模塊的分析，此自定義 DLL 文件向受感染設(shè)備上運(yùn)行的 Qakbot發(fā)出命令，讓該惡意軟件進(jìn)程停止運(yùn)行。當(dāng)惡意軟件被注入到另一個(gè)進(jìn)程的內(nèi)存中時(shí)，刪除工具不需要向硬盤(pán)驅(qū)動(dòng)器讀取或?qū)懭肴魏蝺?nèi)容來(lái)關(guān)閉該進(jìn)程。

FBI 的卸載程序發(fā)送 QPCMD_BOT_SHUTDOWN 命令

從SecureWorks于美國(guó)東部時(shí)間 8 月 25 日晚上7點(diǎn)27分首次監(jiān)測(cè)到FBI的Qakbot卸載工具推送到了受感染設(shè)備，到8月29日FBI宣布聯(lián)合執(zhí)法行動(dòng)的勝利，短短3天時(shí)間內(nèi)，F(xiàn)BI識(shí)別出全球超過(guò)70萬(wàn)臺(tái)受感染設(shè)備，其中20萬(wàn)臺(tái)位于美國(guó)。

FBI 表示，該 Qakbot 刪除工具已獲得法官授權(quán)，其范圍非常有限，只能從受感染的設(shè)備中刪除惡意軟件。

聯(lián)合執(zhí)法行動(dòng)還扣押了860 萬(wàn)美元的勒索資金，并將其返還給因 Qakbot 犯罪行為而受害的許多實(shí)體?？筛鶕?jù)歐洲刑警組織在行動(dòng)后披露的數(shù)據(jù)，執(zhí)法部門(mén)在歐洲、南美洲、北美洲、亞洲和非洲的近 30 個(gè)國(guó)家檢測(cè)到感染 Qakbot 的服務(wù)器，在2021 年 10 月至 2023 年 4 月期間收獲的贖金高達(dá)5400萬(wàn)歐元（約5800萬(wàn)美元），被成功扣押的資金僅僅是這個(gè)龐大僵尸網(wǎng)絡(luò)贖金收益的冰山一角。

后記

雖然美國(guó)方面高調(diào)宣揚(yáng)了“獵鴨行動(dòng)”取得的全面勝利，但Qakbot是否真的被斬草除根了？答案似乎不完全肯定，畢竟REvil、Emotet等勒索軟件都曾在遭受打擊后死灰復(fù)燃。

在BleepingComputer發(fā)表的一篇文章中，指出到目前為止，該行動(dòng)沒(méi)有逮捕任何犯罪人員，因此可能會(huì)出現(xiàn)Qakbot的運(yùn)營(yíng)人員在未來(lái)幾個(gè)月內(nèi)通過(guò)網(wǎng)絡(luò)釣魚(yú)活動(dòng)或其他僵尸網(wǎng)絡(luò)來(lái)重建基礎(chǔ)設(shè)施。

由于全球網(wǎng)絡(luò)的開(kāi)放性、靈活性和匿名性等特性，針對(duì)網(wǎng)絡(luò)犯罪組織的打擊至始至終是一場(chǎng)沒(méi)有邊界的持久戰(zhàn)，國(guó)際社會(huì)必須時(shí)刻保持警惕，在加強(qiáng)國(guó)際間合作的同時(shí)，不斷創(chuàng)新手段和技術(shù)，完善網(wǎng)絡(luò)安全防御和偵查體系，進(jìn)而更加有效地識(shí)別和打擊網(wǎng)絡(luò)犯罪活動(dòng)，維護(hù)全球網(wǎng)絡(luò)空間安全。

本文題目：獵鴨行動(dòng)|Qakbot僵尸網(wǎng)絡(luò)覆滅記，猖獗15年之久
鏈接分享：http://m.5511xx.com/article/dpjsdej.html