QakBot银行恶意软件导致大量 Active Directory 被锁定

近日，IBM公司的恶意软件研究人员注意到，成百上千个Active Directory用户被锁定在其公司的域名之外，而此次事件正是由Qbot银行恶意软件所造成的。

关于Active Directory

活动目录（Active Directory）是面向 Windows Standard Server、Windows Enterprise Server 以及 Windows Datacenter Server 的目录服务。它存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。Microsoft Active Directory 服务是Windows 平台的核心组件，它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。

Qbot魅影重现

据悉Qbot（又称QakBot）银行恶意软件首次出现于2009年，并随着时间流逝不断地得以改善演变。Qbot银行恶意软件旨在针对企业银行账户，窃取用户资金，其主要通过共享驱动器和可移动设备来实现网络蠕虫功能。

除了窃取用户账号资金外，Qbot银行恶意软件还可以窃取用户个人数据，如数字证书、按键信息、缓存凭证、HTTP（S）会话认证数据、Cookie、身份验证令牌以及 FTP和POP3 登录凭证等。

近期，该恶意软件主要针对美国商业银行服务开展攻击活动，包括美国国家财政部（treasury）、企业银行以及商业银行等。

根据IBM发布的博客文章所示，

这是IBM X-Force研究小组第一次发现恶意软件可以导致AD被锁定在受影响的企业网络中的案例。

IBM研究人员表示，

QakBot是模块化的多线程恶意软件，其各种组件可以实施网上银行凭证盗窃、后门功能、SOCKS代理、深度的反取证能力以及破坏反病毒（AV）工具的能力等。除了完善的逃避技巧外，如果给予其管理员权限，QakBot当前的变体还可以禁用端点上运行的安全软件。”

QakBot银行恶意软件实施了特殊的检测机制，利用快速突变（rapid mutation）来规避反病毒工具检测。

IBM进一步解释称，

在感染新的端点后，该恶意软件会使用快速突变来规避AV系统检测。通过对恶意软件文件进行细微的修改，以及在其他情况下，重新编译整个代码，以便使其看起来无法识别。

此外，QakBot银行恶意软件还利用dropper进行传播该恶意软件，研究人员发现，它使用延迟执行（10至15分钟）来逃避检测。据悉，dropper执行了一个explorer.exe实例，并将QakBot动态链接库（DLL）注入到该进程中，以破坏其原始文件传播恶意软件。

dropper使用ping.exe实用程序调用一个ping命令，它将在一个循环中重复六次：

C:WindowsSystem32cmd.exe” /c ping.exe -n 6 127.0.0.1 & type 
“C:WindowsSystem32autoconv.exe” à 
“C:UsersUserNameDesktop7a172.exe

一旦ping完成，原始QakBot dropper的内容将被合法的Windows autoconv.exe命令覆盖。QakBot使用注册表运行键（Registry runkey）和计划任务（scheduled tasks）在目标计算机上获益。为了在目标网络中进行传播，QakBot银行恶意软件还使用 C＆C服务器的特定命令来实现自动和按需的横向移动。

IBM研究人员继续分析道，

为了访问和感染目标网络中的其他计算机，QakBot可能会收集受感染计算机上的用户名，并使用它们来尝试登录域名中的其他计算机设备。如果恶意软件无法从域名控制器和目标计算机中枚举用户名，恶意软件将会使用硬编码的用户名列表。

此外，该恶意软件还可以利用“浏览器中间人”（Man-in-the-Browser，简称MitB）攻击，将恶意代码注入到在线银行会话中，以便通过其控制的域名中获取脚本。