Sophos发布Qakbot殭尸网络研究 透过劫持电邮传播

Sophos今日发布一篇对Qakbot殭尸网络的深入研究，解释为什么它对企业来说变得更先进和更危险。Sophos指出，殭尸网络随后会下载一系列额外的恶意模块，以增强核心殭尸网络的功能。
在这篇《Qakbot将自己插入电子邮件对话中》文章，Sophos研究人员详细介绍最近的Qakbot殭尸网络如何透过劫持电子邮件对话来进行传播，并会从遭感染的计算机收集各种设定信息，包括用户帐户和权限、已安装软件、正在运作的服务等。
Qakbot的恶意软件程序代码具有非常规的加密功能，还会用于隐藏通讯内容。Sophos对其恶意模块进行解密，并对殭尸网络的命令和控制系统进行译码，以解读Qakbot如何接收指令。
Sophos首席威胁研究员Andrew Brandt表示：「Qakbot是一种模块化且多用途的殭尸网络，它透过电子邮件传播，可扮演成恶意软件的传递网络，所以越来越受到攻击者欢迎，例如Trickbot和Emotet。Sophos对Qakbot的深入分析揭露了撷取受害计算机设定数据的细节、殭尸网络处理复杂命令序列的能力，以及一系列能扩展殭尸网络核心引擎功能的装载。以为『商品型』殭尸网络只是烦人的日子早已远去。」
Andrew Brandt进一步表示：「安全部门需要认真处理网络上存在的Qakbot，并且调查和删除每一个痕迹。殭尸网络感染是勒索软件攻击的已知前兆。不仅是因为殭尸网络可以传播勒索软件，更因殭尸网络开发者会出售或出租这些遭破坏网络的访问权限。例如，Sophos就遇到过将Cobalt Strike信标直接传送到遭感染主机的Qakbot样本。一旦Qakbot操作者想要利用这些遭感染的计算机，他们就可以将这些信目标访问权限转让、出租或出售给付费的客户。」
Qakbot殭尸网络将恶意邮件插入到现有的电子邮件讨论串中。插入的电子邮件包括一句简短的句子和一个下载包含恶意Excel电子表格的zip档案链接。使用者会被要求「打开内容」以触发感染链。一旦殭尸网络感染新目标，它会进行详细的设定扫描，将数据分享到命令和控制服务器，然后下载其他恶意模块。
Qakbot殭尸网络会以动态链接库（DLL）的形式下载至少三种不同的恶意装载。据Sophos称，这些DLL装载将为殭尸网络提供更多种功能。
这些装载会被插入浏览器并置入一个将密码窃取程序代码插入网页的模块；一个执行网络扫描的模块，收集遭感染计算机邻近其他计算机的数据；一个会识别十几个SMTP电子邮件服务器地址，然后尝试联机到每个服务器并发送垃圾邮件的模块。
Sophos建议使用者谨慎处理不寻常或预期之外的电子邮件，即使这些邮件看似是对现有电子邮件讨论的回复。在Sophos调查的Qakbot活动中，一个收件者可视为潜在危险的信号是在URL中使用了拉丁词组。
安全部门应检查现有安全技术提供的行为保护是否可以防止Qakbot感染。如果遭感染的使用者尝试联机到已知的命令和控制地址或网域，网络设备也会通报系统管理员。 Sophos端点产品如Intercept X，可透过侦测攻击者的动作和行为来保护使用者。