Qbot kehrt zurück mit neuen Tricks

Laut Daten von BAE Systems wurde der Schädling Qbot wieder aktiviert und infizierte bereits über 54.500 Rechner; 85% der neuen Opfer sind in den USA registriert.

Die neuste Spielart von Qbot, der seit Anfang 2009 bekannt ist, entgeht erfolgreich der Detektion. Nach Angaben von BAE Systems, haben die Cyberkriminellen, die hinter der jüngsten Infektionswelle stecken, ihn so umfunktioniert, dass der Schädling in der Lage ist, die meisten modernen Schutzsysteme zu umgehen.

Nach den Worten von Adrian Nish, leitender Virenanalyst von BAE Systems, ist Qbot daher etwas Besonderes, weil er fähig ist, sich alle 24 Stunden auf einem infizierten Knoten selbst wiederherzustellen. „Die Autoren von Qbot verschlüsseln und verpacken den Code jeden Tag aufs Neue“, erklärte Nish gegenüber Threatpost. „Heute erkennt ihn ein Antivirenprogramm und morgen ist es dazu bereits nicht mehr in der Lage.“

Dieser Schädling stiehlt nach Angaben des Experten Daten und sammelt Registrierungsinformationen, verbreitet wird er mit Hilfe des Exploit-Packs RIG. Qbot greift im Wesentlichen akademische Institute in den USA an, obgleich er auch medizinische Einrichtungen nicht außer Acht lässt. In diesen Fällen könnte es sein, dass er sich aufteilt und auch Ransomware in Umlauf bringt.

Der Bericht von BAE Systems über die Verteilung von Ransomware mit Hilfe von Qbot stimmt mit den Beobachtungen von Cisco Talos überein, die einige Tage zuvor veröffentlicht wоrden waren. Die Experten von Cisco sagten das Erscheinen eines Verschlüsselungsschädlings voraus, der über Jahre erprobte Infektionstechniken verwenden und in der Lage sein würde, sich selbstständig zu verbreiten wie ein Wurm.

Doch auch wenn Qbot einige Eigenschaften eines Wurmes haben mag, beispielsweise die Fähigkeit, sich selbst im Netz zu verbreiten und sich selbst aufzulegen, ist er nicht autonom. Für die Aktualisierung des polymorphen Codes benötigt er einen C&C-Server. Die Forscher stellten fest, dass der Code von Qbot alle sechs Stunden neu kompiliert wird, häufig unter Ergänzung von Code, um dem Schadprogramm ein völlig neues Äußeres zu verschaffen.

Seitdem Qbot erstmals im Netz in Erscheinung trat, ist er nie ganz von der Bildfläche verschwunden. Immer wieder gab es Berichte über neue Infektionen oder Varianten mit begrenzter Population. Doch das hohe Verbreitungstempo dieses Schädlings, das schon seit einem Monat beobachtet wird, beunruhigt die Forscher, zumal Veränderungen buchstäblich im Fluge vorgenommen werden.

Nach den Worten von Nish werden die Qbot-Modifikationen auf zwei Ebenen umgesetzt. Einerseits ändern die Cyberkriminellen den Binärcode, ohne die Funktionalität anzutasten. „Auf dieser Ebene werden die polymorphen Veränderungen mit Hilfe eines ‚Gateway‘-PHP-Skripts vorgenommen, das auf dem C&C läuft“, schreiben die Forscher. „Jedes Mal, wenn ein neues Sample erhalten wird, patcht das C&C-Skript zwei große Objekte in das Template und verwendet dabei zufällige Daten. Das hat zur Folge, dass jedes Mal eine neue Kopie mit einem anderen Hash entsteht.“

Die zweite Ebene der polymorphen Obfuskation besteht in der Neu-Kompilierung und dem neuen Verschlüsselungsprozess, infolge dessen eine völlig neue Struktur erhalten wird. „Auf dieser Ebene wird dem Sample die nächste Versionsnummer zugeteilt, manchmal erhält es auch eine neue Konfigurationsdatei (auf Wunsch der Angreifer), mit anderen Adressen des C&C- und FTP-Servers für das Herausziehen der Daten“, heißt es in dem Bericht von BAE.

Zum gegenwärtigen Zeitpunkt übersteigt die Zahl der Qbot-Infektionen in den USA den entsprechenden Wert anderer Regionen laut BAE deutlich, da es den Angreifern zuerst gelungen ist, amerikanische Sites zu hacken. Das Exploit-Pack RIG wurde auf mehreren Domains gefunden, die über GoDaddy registriert wurden. „Es scheint, als verfügten die Cybergangster über die Anmeldedaten zu einigen GoDaddy-Accounts und nutzten diese, um Subdomains zu erstellen, die auf unterschiedliche NS-Server verweisen“, nehmen die Forscher an. Viele dieser Subdomains werden mit ein und derselben GoDaddy-Domain assoziiert.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.