Qbot マルウェアの高速性に注意:感染から 30分後にはメールと認証情報が盗み出される

Qbot needs only 30 minutes to steal your credentials, emails

2022/02/08 BleepingComputer — Qbot (別名:Qakbot/QuakBot) として知られる広範なマルウェアだが、最近は高速での攻撃に戻ってきており、アナリストによると、最初の感染から機密データを盗み出すまでに、30分ほどしか必要としないとのことだ。DFIR の新しいレポートによると、Qbot は 2021年10月に、このような高速でのデータ窃盗攻撃を行っていたが、Qbot の背後にいる脅威アクターが、同様の戦術に戻ってきたようだ。

具体的な分析結果としては、敵対者がブラウザのデータを盗み、Outlook から電子メールを盗むのに30分かかり、隣接するワークステーションに飛び移るまでに 50分かかるとされている。

攻撃のタイムライン

以下の図に示すように、Qbot は感染直後に特権昇格を実行するために素早く動き、本格的な偵察スキャンは 10分以内に行われる。


最初のアクセスの多くは、Excel (XLS) ドキュメントを介して達成され、マクロを用いてターゲット・マシンに DLL ローダーをドロップする。その後、このペイロードが実行され、msra.exe プロセスを介してスケジュールされたタスクが作成され、自身をシステム特権に昇格させる。

さらに、このマルウェアは、Qbot DLL を Microsoft Defender の除外リストに追加するため、msra.exe への注入が生じても、その事は検出されない。このマルウェアは、最初の実行から 30分で電子メールを盗み出す。それらの、電子メールはリプレイチェーン型のフィッシング攻撃に使用されることもあれば、他の脅威アクターに売却されることもある。

Qbot は、LSASS (Local Security Authority Server Service) インジェクションを使用して、メモリから Windows の認証情報を盗み出し、Web ブラウザからも盗み出す。それらの情報を利用して、ネットワーク上の他のデバイスへの横移動が行われるが、それまでに必要な時間は、最初の実行から平均で50分後とされる。

ネットワークへの潜入

Qbot は、次のターゲットに DLL をコピーし、それを実行するサービスをリモートで作成することで、スキャンした環境内の、すべてのワークステーションに横移動していく。

同時に、前回の感染が解除されるため、認証情報が流出した直後のマシンは消毒され、正常に見えるようになる。さらに、新しいワークステーションで作成されたサービスには、DeleteFlag パラメータが設定されているため、システムの再起動時には削除されるようになっている。この横移動は迅速に行われるため、ワークステーションを保護するネットワーク・セグメンテーションが存在しない場合には、防衛チームは極めて困難な状況に追い込まれる。

また、Qbot の脅威アクターは、アドレスのマスキングやローテーションを容易にするために、感染したシステムの一部を、第一階層のプロキシ・ポイントとして使用することもあれば、C2 サーバとの SSL 通信に、複数のポートを使用することもある。このような、迅速な攻撃による被害は、データの損失に留まらない。侵害した企業ネットワークに、Qbot がランサムウェアのペイロードを投下することも観察されている。

2021年12月に発表された Microsoft のレポートでは、Qbot 攻撃の多様性が解説されているが、その感染範囲を正確に評価することは難しいとされる。ただし、Qbot の感染経路を正確に把握できないにしても、ほとんど全てが電子メールから始まることを念頭に置く必要があり、また、組織が強化すべき主なアクセス・ポイントは、ここにあると言える。

本日、Microsoft が発表した、ダウンロードした Office ドキュメントについて、デフォルトでマクロをブロックし、Enable Content/Enable Editing ボタンを削除するという方針は、Qbot フィッシング攻撃からユーザーを守るために大いに役立つ。

先ほどの「Exploit-as-a-Service というモデル:ゼロデイ脆弱性のリースが始まる?」とも、関連させて捉えるべきトピックなのでしょう。その背景には、マルウェアの仕事が速くて巧みになっているという現実があるようです。この種の話題としては、2021年12月7日の「Emotet の Cobalt Strike ダイレクト投下機能:ランサムウェア攻撃までの時間が短縮される?」や、12月16日「Exploit-as-a-Service というモデル:ゼロデイ脆弱性のリースが始まる?」があります。よろしければ、ご参照ください。

%d bloggers like this: