Ursprünglich wurde Qakbot aka QBot oder Pinkslipbot laut Zscaler 2008 als Banking-Trojaner entwickelt, um Anmeldeinformationen zu stehlen und Überweisungs- und Kreditkartenbetrug durchzuführen. Die frühen Versionen von Qakbot enthielten einen Datumsstempel und noch keine Versionsnummer, werden aber in der Grafik der Klarheit halber als 1.0.0 bezeichnet. Zu Beginn wurde die Malware als Dropper eingesetzt mit zwei embedded Komponenten im Resource-Teil, die aus einer bösartigen DLL und einem Tool bestanden, das für die Injektion der DLL in laufende Prozesse eingesetzt wurde. Der Funktionsumfang war bereits zu Beginn umfangreich mit einem SOCKS5-Server, Funktionen zum Passwortdiebstahl oder zum Sammlen von Webbrowser-Cookies.

Diese frühe Version wurde ausgebaut und 2011 die Versionsbezeichnung 2.0.0 eingeführt. Es folgten Meilensteine der Entwicklung des Funktionsumfangs und 2019 setzte der Wechsel vom Bankbetrug zum Access Broker ein, der Ransomware wie Conti, ProLock, Egregor, REvil, MegaCortex und BlackBasta verbreitete. Im Laufe der Jahre wurden die Anti-Analyse-Techniken von Qakbot verbessert, um Malware-Sandboxen, Antiviren-Software und andere Sicherheitsprodukte zu umgehen. Heute ist die Malware modular aufgebaut und kann Plugins herunterladen um dynamisch neue Funktionen hinzuzufügen.

Jede Versionsnummer verdeutlichte die vorherrschenden Bedrohungstechniken der jeweiligen Periode. So gingen frühe Versionen noch mit hartcodierten Command-und-Controll-Server einher die mit Fortentwicklung der Erkennungstechniken und der Stilllegung von Schadcode-behafteten Domainnamen abgelöst wurden. Als Antwort darauf wurde Netzwerk-Encryption und ein Domain-Generation-Algorithmus eingeführt. Allerdings ging mit der Anfrage von einer Bandbreite an Domains ein gewisses Grundrauschen einher und die Qakbot-Entwickler gingen zu einer neuen Multi-tiered-Architektur über, die kompromittierte Systeme als Proxy-Server für die Weiterleitung des Datenverkehrs zwischen anderen infizierten Systemen einsetzte. Ein solches Designupdate adressierte das Problem des Single Point of Failures, reduzierte das Datenaufkommen und half beim Verstecken der C2-Server.

Die Version 5.0 hat nun die vielleicht wichtigste Änderung am Algorithmus zur Verschlüsselung von Zeichenketten vorgenommen. Die Zeichenketten werden immer noch mit einem einfachen XOR-Schlüssel verschlüsselt. Allerdings ist der XOR-Schlüssel nicht mehr fest im Datenbereich kodiert. Stattdessen wird er mit AES verschlüsselt, wobei der AES-Schlüssel durch einen SHA256-Hash eines Puffers abgeleitet wird. Ein zweiter Puffer enthält den AES-Initialisierungsvektor als erste 16 Bytes, gefolgt von dem AES-verschlüsselten XOR-Schlüssel. Sobald der XOR-Schlüssel entschlüsselt wurde, lässt sich der Block verschlüsselter Zeichenfolgen entschlüsseln.

Der hochentwickelte Trojaner hat sich innerhalb von 15 Jahren stark verändert hin zu einer sehr resilienten und persistenten Bedrohung. Trotz der Zerschlagung 2023 bleibt ist Malware-Gruppierung weiterhin aktiv und wird auch in absehbarer Zukunft ihr Gefährdungspotenzial ausspielen. Eine ausführliche Anslyse des ThrealabZ-Teams von Zscaler ist hier nachzulesen.