15 Jahre Betrug und kein bisschen leise

Lesezeit
1 Minute
Bis jetzt gelesen

15 Jahre Betrug und kein bisschen leise

13.02.2024 - 07:17
Veröffentlicht in:

Qakbot ist ein Trojaner mit einer mittlerweile 15jährigen Evolutionsgeschichte. Kürzlich haben die Sicherheitsforscher von Zscaler festgestellt, dass die Bedrohungsakteure ihre Codebasis aktualisiert haben, um 64-Bit-Versionen von Windows zu angreifbar zu machen. Zudem haben sie die Verschlüsselungsalgorithmen verbessert und weitere Verschleierungstechniken wurden hinzugefügt – ein Paradebeispiel für den Wandel einer resilienten, persistenten und innovativen Malware.

Ursprünglich wurde Qakbot aka QBot oder Pinkslipbot laut Zscaler 2008 als Banking-Trojaner entwickelt, um Anmeldeinformationen zu stehlen und Überweisungs- und Kreditkartenbetrug durchzuführen. Die frühen Versionen von Qakbot enthielten einen Datumsstempel und noch keine Versionsnummer, werden aber in der Grafik der Klarheit halber als 1.0.0 bezeichnet. Zu Beginn wurde die Malware als Dropper eingesetzt mit zwei embedded Komponenten im Resource-Teil, die aus einer bösartigen DLL und einem Tool bestanden, das für die Injektion der DLL in laufende Prozesse eingesetzt wurde. Der Funktionsumfang war bereits zu Beginn umfangreich mit einem SOCKS5-Server, Funktionen zum Passwortdiebstahl oder zum Sammlen von Webbrowser-Cookies.

Diese frühe Version wurde ausgebaut und 2011 die Versionsbezeichnung 2.0.0 eingeführt. Es folgten Meilensteine der Entwicklung des Funktionsumfangs und 2019 setzte der Wechsel vom Bankbetrug zum Access Broker ein, der Ransomware wie Conti, ProLock, Egregor, REvil, MegaCortex und BlackBasta verbreitete. Im Laufe der Jahre wurden die Anti-Analyse-Techniken von Qakbot verbessert, um Malware-Sandboxen, Antiviren-Software und andere Sicherheitsprodukte zu umgehen. Heute ist die Malware modular aufgebaut und kann Plugins herunterladen um dynamisch neue Funktionen hinzuzufügen.

Jede Versionsnummer verdeutlichte die vorherrschenden Bedrohungstechniken der jeweiligen Periode. So gingen frühe Versionen noch mit hartcodierten Command-und-Controll-Server einher die mit Fortentwicklung der Erkennungstechniken und der Stilllegung von Schadcode-behafteten Domainnamen abgelöst wurden. Als Antwort darauf wurde Netzwerk-Encryption und ein Domain-Generation-Algorithmus eingeführt. Allerdings ging mit der Anfrage von einer Bandbreite an Domains ein gewisses Grundrauschen einher und die Qakbot-Entwickler gingen zu einer neuen Multi-tiered-Architektur über, die kompromittierte Systeme als Proxy-Server für die Weiterleitung des Datenverkehrs zwischen anderen infizierten Systemen einsetzte. Ein solches Designupdate adressierte das Problem des Single Point of Failures, reduzierte das Datenaufkommen und half beim Verstecken der C2-Server.

Die Version 5.0 hat nun die vielleicht wichtigste Änderung am Algorithmus zur Verschlüsselung von Zeichenketten vorgenommen. Die Zeichenketten werden immer noch mit einem einfachen XOR-Schlüssel verschlüsselt. Allerdings ist der XOR-Schlüssel nicht mehr fest im Datenbereich kodiert. Stattdessen wird er mit AES verschlüsselt, wobei der AES-Schlüssel durch einen SHA256-Hash eines Puffers abgeleitet wird. Ein zweiter Puffer enthält den AES-Initialisierungsvektor als erste 16 Bytes, gefolgt von dem AES-verschlüsselten XOR-Schlüssel. Sobald der XOR-Schlüssel entschlüsselt wurde, lässt sich der Block verschlüsselter Zeichenfolgen entschlüsseln.

Der hochentwickelte Trojaner hat sich innerhalb von 15 Jahren stark verändert hin zu einer sehr resilienten und persistenten Bedrohung. Trotz der Zerschlagung 2023 bleibt ist Malware-Gruppierung weiterhin aktiv und wird auch in absehbarer Zukunft ihr Gefährdungspotenzial ausspielen. Eine ausführliche Anslyse des ThrealabZ-Teams von Zscaler ist hier nachzulesen.

Ähnliche Beiträge

Ausschlussliste für Defender definieren

Wie bei allen Virenschutz-Werkzeugen kann es auch beim Microsoft Defender Sinn ergeben, manchen Dateien vom regelmäßigen Scan nach Schädlingen auszunehmen. Allerdings sind die entsprechenden Einstellungen ziemlich gut in der Systemsteuerung von Windows 11 und auch 10 versteckt. Unser Tipp nimmt Sie beim Gang durch die Settings an die Hand und beschreibt das Modifizieren der Ausschlussliste.
Auszeichnung für automatische Schwachstellenanalyse Lars Nitsch Di., 16.04.2024 - 07:21
Für seine Forschung zu sicheren Softwaresystemen erhält Prof. Dr. Eric Bodden, Informatiker an der Universität Paderborn und Direktor des Fraunhofer IEM, den "ERC Advanced Grant" in Höhe von 2,5 Millionen Euro vom Europäischen Forschungsrat. Der Wissenschaftler entwickelt eine Technologie, die Werkzeuge zur Schwachstellenanalysen so produziert, dass sie für die jeweilige Software im Unternehmen optimal funktionieren – und das vollständig automatisiert.