盡管不是新的木馬，但以其主要的可執(zhí)行文件_qakbot.dll命名的Qakbot木馬，卻具有一些之前很少在金融犯罪軟件中出現(xiàn)的獨(dú)特屬性。對于金融企業(yè)而言，Qakbot不再只是一笑而過的事。

我們對Qakbot的最新研究表明，它的觸發(fā)列表幾乎完全包含了美國的大型金融機(jī)構(gòu)，還有幾個非美國機(jī)構(gòu)的實(shí)例。此外，Qakbot還是第一款“偏愛”這些金融機(jī)構(gòu)企業(yè)/公司賬戶的木馬。Qakbot為什么要局限于此？為什么不擴(kuò)大到公司賬戶之外，侵害普通消費(fèi)者？答案就是經(jīng)濟(jì)，Qakbot的目標(biāo)就是騙取更多的金錢，而這要遠(yuǎn)遠(yuǎn)超過一般私人網(wǎng)上賬戶中能夠獲取的金額。雖然Qakbot并不是第一款也不是唯一一款針對這些賬戶的木馬，但它卻是唯一一款在設(shè)計上嚴(yán)格表現(xiàn)出有這類“偏愛”的木馬。

到底什么是Qakbot？

Qakbot木馬究竟是如何從企業(yè)銀行賬戶中獲取金錢的？目前仍在調(diào)查之中。令人驚訝的是，我們并沒有追蹤到HTML或JavaScript代碼注入，也沒有追蹤到通常用于規(guī)避保護(hù)這些高資產(chǎn)賬戶的雙因素認(rèn)證機(jī)制的瀏覽器中間人攻擊。不過，我們懷疑Qakbot確實(shí)有某種可實(shí)時完成攻擊的模塊，否則它就不會針對企業(yè)賬戶了。

Qakbot木馬的另一個獨(dú)特屬性就是它的扮裝。 Qakbot是終極多面手，它設(shè)計成像蠕蟲一樣的傳播，每次可以感染多臺機(jī)器，同時卻又像普通的銀行木馬一樣竊取數(shù)據(jù)。Qakbot將共享網(wǎng)絡(luò)作為其攻擊目標(biāo)，同時其把可執(zhí)行文件復(fù)制到共享目錄中；而一種能讓其在企業(yè)網(wǎng)絡(luò)上傳播的技術(shù)，使每臺連接到此類網(wǎng)絡(luò)的計算機(jī)都極易受到攻擊。雖然它并不是完全原創(chuàng)的，但蠕蟲/木馬的結(jié)合卻是非常罕見和有效的。

Qakbot還是一個組織發(fā)電機(jī)。它是第一個在客戶端側(cè)將目標(biāo)憑證從其他竊取的信息中分離出來，而不是放在卸放區(qū)的木馬。在受害者計算機(jī)上將目標(biāo)憑證與其他信息區(qū)分開之后，目標(biāo)憑證就被發(fā)送到Qakbot的卸放服務(wù)器，而Qakbot沒有特別針對的、從實(shí)體竊取的憑證，則利用劫持的FTP賬戶上傳到合法的FTP服務(wù)器上。

Qakbot所竊取信息的絕對數(shù)量及其細(xì)節(jié)令人咋舌。每次受感染的用戶訪問實(shí)體網(wǎng)站時，木馬就會將受害者計算機(jī)上傳輸?shù)臄?shù)據(jù)組織到3個獨(dú)立的文件中：系統(tǒng)信息（IP地址，DNS服務(wù)器，國家，州，城市，安裝的應(yīng)用軟件等；見圖1 ），Seclog（HTTP/S POST請求；見圖 2），和受保護(hù)存儲區(qū)（保存在Internet Explorer受保護(hù)存儲區(qū)中的信息，以及自動完成的憑證，包括用戶名，密碼，以及瀏覽器歷史；見圖 3）。這些文件按每個用戶進(jìn)行組織，同時連同全面的系統(tǒng)和用戶賬戶信息。何必為每臺受感染計算機(jī)上定義的每個用戶賬戶匯集如此廣泛的系統(tǒng)數(shù)據(jù)？所有的這些信息很可能由Qakbot的作者匯集起來以備將來之用。

Qakbot木馬迄今為止最著名的受害者是英國公共資助的醫(yī)療保健系統(tǒng)國家衛(wèi)生服務(wù)（NHS）。Qakbot感染了超過1100臺電腦，但卻沒有證據(jù)表明病人數(shù)據(jù)遭到了侵害，來自Facebook，Twitter，Hotmail，Gmail和雅虎的4GB的個人資料被發(fā)現(xiàn)通過NHS受監(jiān)控的服務(wù)器傳出。#p#

Qakbot的其他特性

Qakbot兩個脫穎而出的廣泛隱形功能尤其不同尋常：第一個是Qakbot廣泛的實(shí)驗(yàn)室回避程序，旨在確保該木馬不會在安全公司的研究實(shí)驗(yàn)室運(yùn)行。Qakbot的開發(fā)者肯定不是為了使他們的犯罪軟件避免被研究人員研究而設(shè)計。然而，與那些只檢查是否運(yùn)行在虛擬機(jī)上從而確定是否繼續(xù)自行安裝的其他一些木馬程序不同的是，Qakbot的作者不厭其煩地設(shè)置了七次測試以確保他們的木馬不會被安全研究人員進(jìn)行反向工程并做詳細(xì)研究。

圖1 從僵尸計算機(jī)發(fā)送給Qakbot C&C 服務(wù)器的SI – 系統(tǒng)信息文件

圖 2: Seclog -從僵尸計算機(jī)發(fā)送給Qakbot C&C 服務(wù)器的文件 

圖3 PS - 從僵尸計算機(jī)發(fā)送給Qakbot C&C 服務(wù)器的受保護(hù)存儲區(qū)文件

此外，更不尋常的是，如果Qakbot識別出它正在實(shí)驗(yàn)室環(huán)境中運(yùn)行，它就會特意將有關(guān)的IP地址報告給木馬卸放區(qū)：木馬將系統(tǒng)的IP地址和bot ID發(fā)送給Qakbot的卸放區(qū)。這種類型的通知很可能得以執(zhí)行，將該IP地址列入黑名單，這樣木馬就不會再試圖感染同一個研究實(shí)驗(yàn)室。

實(shí)驗(yàn)室追蹤到的第二個不尋常的隱形功能，就是Qakbot作者為壓縮木馬所竊憑證而自行開發(fā)的獨(dú)特壓縮格式，實(shí)驗(yàn)室見證的第一個此類編程壯舉，因?yàn)榇蠖鄶?shù)銀行木馬都只是簡單地使用流行的壓縮格式如ZIP, RAR, 和TARGZ。Qakbot作者專有的壓縮格式迫使專業(yè)安全研究人員不得不耗費(fèi)大量的時間和精力編寫了一個合適的解壓縮程序。#p#

每月網(wǎng)絡(luò)釣魚攻擊

剛剛過去的9月，RSA在世界各地共發(fā)現(xiàn)16274起網(wǎng)絡(luò)釣魚攻擊，比8月份減少了9%。減少的大部分可直接歸因于針對那些通常作為頻繁攻擊目標(biāo)的組織所發(fā)起攻擊的減少。

#p#

遭受攻擊的品牌數(shù)

9月份共有178個品牌遭到了攻擊，比8月份減少了18%。這是首次在一年時間里作為攻擊目標(biāo)的品牌數(shù)量下降至200個以下。9月份只有七家組織第一次遭受到網(wǎng)絡(luò)釣魚攻擊，這一數(shù)字相比于RSA在正常月份所見到的數(shù)量相對較低。

#p#

美國境內(nèi)遭受攻擊的金融機(jī)構(gòu)細(xì)分

9月份，美國信用合作社遭受了6%的網(wǎng)絡(luò)釣魚攻擊，要比8月份的3%高。全國性美國銀行遭受了64%的攻擊，只比8月份減少了1%。9月份是全國性的美國銀行在其金融服務(wù)業(yè)中連續(xù)7個月遭受絕大多數(shù)網(wǎng)絡(luò)釣魚攻擊的月份。

#p#

托管網(wǎng)絡(luò)釣魚攻擊最多的前十位國家

每十個網(wǎng)絡(luò)釣魚攻擊中就有6個在美國托管。韓國托管了7%的網(wǎng)絡(luò)釣魚攻擊，比8月份增加了2%。8月份托管數(shù)量處于第二位的巴西，在9月份只托管了2%的攻擊。

在過去六個月中，一直托管著大部分網(wǎng)絡(luò)釣魚攻擊的國家是美國，英國，德國，加拿大，澳大利亞，法國，韓國和俄羅斯。

#p#

攻擊數(shù)量最多的前十位國家

9月份，美國所遭受的網(wǎng)絡(luò)釣魚式攻擊數(shù)量下降了5%，英國下降了3%。與此同時，中國的網(wǎng)絡(luò)釣魚攻擊數(shù)量在9月份增長了3%。

在過去六個月中，遭受著網(wǎng)絡(luò)釣魚攻擊較多的國家是美國，英國，南非，中國，意大利，加拿大和荷蘭。

 #p#

按遭受攻擊品牌劃分的前十位國家

美國，英國，印度和加拿大是9月份作為網(wǎng)絡(luò)釣魚攻擊目標(biāo)的品牌數(shù)量最多的國家。阿拉伯聯(lián)合酋長國，連續(xù)第三個月成為遭受攻擊的品牌數(shù)量最多的國家之一。

在過去的六個月中，作為攻擊目標(biāo)的品牌數(shù)量最多的國家是美國，英國，意大利，加拿大，印度，澳大利亞和南非。

【編輯推薦】

1. Qakbot傳播像蠕蟲 攻擊像木馬
2. Qakbot每周竊取2GB保密信息
3. 五款主流殺毒軟件查殺“綁架型木馬”大比拼
4. 揭開綁架型木馬的“畫皮”