Qakbot virus – proverite da li ste zaraženi

Operacija Duck Hunt, kako je nazvana, je uspela da stane na kraj Qakbotu-u nakon 15 godina postojanja. Qakbot je i virus i botnet, a služio je drugim hakerskim grupama kao pristupna tačka već zaraženim računarima kako bi oni ubacili svoje viruse. Sjedinjene Američke države, Ujedinjeno Kraljevstvo, Nemačka, Francuska, Rumunija, Holandija i Latvija su učestvovale u “lovu na patku”, a FBI je vodio operaciju.

Šta se desilo?

Krajem avgusta FBI je preuzeo kontrolu nad Qakbot botnetom i isti je ugašen. Tom prilikom  preuzeta je lista svih kompromitovanih mail adresa koje su služile za širenje virusa. Ova lista je prosleđena svim agencijama i organizacijama koje su sarađivale zarad obaveštavanja i oporavka od Qakbot-a.

Duck hunt operacija ne podrazumeva samo preuzimanje botneta i prikupljanje podataka, već je kreirana alatka koja stopira proces Qakbot-a. Pre nego što objasnimo kako je FBI kreirao alatku, potrebno je i znati kako je Qakbot funkcionisao i širio se.

Qakbot se širi putem phishing kampanja, a korišćeno je više taktika poput reply-chain email napada. Ova vrsta napada se desi kada neko dobije pristup nekoj mail prepisci i u njoj pošalje neki odgovor koji sadrži zaražen prilog ili link za skidanje zaraženog dokumenta.

Sami dokumenti su su se menjali između kampanja, a mogli su biti Word ili Excel dokumenti sa malicioznim makroima, OneNote fajlovi sa embedovanim zaraženim fajlovima, ISO prilozi koji bi sadržali Windows prečice i .exe fajlove. Neki su sadžali i zero-day ranjivosti u Windows sistemima.

Kako Qakbot radi?

Nakon što Qakbot bude instaliran na nekom računaru, ubaciće se u memoriju nekog od legitimnih Windows procesa poput wermgr.exe ili AtBroker.exe kako bi zaobišao detekciju antivirusa.

Kad je Qakbot aktivan, traži informacije koje može da ukrade, uključujući i mail adrese koje će koristiti u kasnijim phishing kampanjama.

Pred ovoga, Qakbot je korišćen i kao način da se neki računar zarazi i drugim virusima. U prošlosti, Qakbot je sarađivao sa mnogim grupama koje se bave ransomware-om poput Conti, MegaCortex, ProLock, REvil, Egregor,  BlackBasta i BlackCat.

Na osnovu istraživanja, zaključeno je da je Qakbot botnet koristio Tier1, Tier 2 i Tier 3 komandne i kontrolne servere. Oni su korišćeni da instaliraju ažuriranja za virus, skinu dodatne viruse na računare i zadaju komande koje je potrebno uraditi.

Tier 1 serveri su zaraženi uređaji sa “supernode” modulom instaliranim koji koristi kao deo komandne i kontrolne infrastrukture botneta.

Tier 2 serveri su takođe deo komandnog i kontrolnog dela infrastrukture, ali njima su upravljali kreatori Qakbot-a i oni su se nalazili na iznajmljenim serverima izvan Sjedinjenih Američkih država. 

Ove dve grupe servera su korišćene za prenošenje enkriptovane komunikacije na Tier 3 serverima.

Tier 3 serveri su centralni komandni i kontrolni serveri koji su zadavali komande koje je potrebno izvršiti, prosleđivali nove module za maliciozne aplikacije i dodatne viruse za instalaciju na zaraženim računarima. 

Na svakih par minuta, Qakbot virus je na zaraženim računarima ostvarivao enkriptovanu komunikaciju sa Tier 3 serverima preko liste Tier 1 servera koju ima u sebi. 

Qakbot infrastruktura pod FBI-em

Nakon što je FBI uspeo da pristupi Qakbot infrastrukturi, pronašli su i ključeve za enkripciju koji su korišćeni za komunikaciju ovih servera. Koristeći ove ključeve i zaražene računare, zamenili bi već instaliran Qakbot supernode modul sa modulom koji su oni kreirali.

Ovaj novi supernode modul je koristio drugačije ključeve za enkripciju koji nisu bili poznati Qakbot-u i ovim postupkom su “preoteli” kontrolu nad Qakbot infrastrukturom jer Qakbot više nije imao način kako da komunicira sa Tier 1 serverima.

Potom je FBI kreirao njihov Windows DLL fajl koji je pušten kroz infrastrukturu sa ciljem da onesposobi Qakbot na zaraženim računarima. Ovaj fajl sadrži kod koji u potpunosti zaustavi Qakbot proces na zaraženom računaru, a čak i da je Qakbot postavljen kao zakazani zadatak, nakon što se Qakbot pokrene, biće opet stopiran.

Kako proveriti da li je vaš računar zaražen Qakbot-om?

Primećeni su obrasci na zaraženim računarima po kojima se može otkriti Qakbot:

• Koristi Registry Run Key po potrebi da doda ključ potreban za startovanje samog virusa. Dok je sistem aktivan, ključ je obrisan, a pre restarta računara dodaje se ključ:
  

  HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun<nasumičan_string>

• Qakbot upisuje binarni kod potreban za startovanje virusa u fajlovima na lokaciji:
  

  C:Users<korisnik>AppDataRoamingMicrosoft<nasumičan_string>

• Qakbot upisuje enkriptovanu konfiguraciju sa informacijama o botnetu u sledeći ključ:
  

  HKEY_CURRENT_USERSoftwareMicrosoft<nasumičan_string>

Sajt Holandske policije možete koristiti da proverite da li je neki mail nalog korišćen od strane Qakbot-a. Potrebno je uneti mail nalog u polje za unos i pritisnete dugme Check. Ako Vam stigne mail od Holandske policije, mail nalog je na listi kompromitovanih mail naloga.

Ako želite da proverite da li su neki od podataka vezani za bilo koju mail adresu “procureli”, koristite sajt Have I Been Pwned?. Izlistaće sve servise na koje ste se prijavili sa tom mail adresom, a da su imali bilo kakav data breach, a napisaće i kada je data breach bio kao i koji podaci su procureli. 

Oporavak od Qakbot-a

Za mail adrese, dovoljno je postaviti novu lozinku. Ne zna se da li su svi zaraženi računari očišćeni od Qakbot-a, ali FBI je alatku pustio u rad 25. avgusta.

Lozinke kompromitovanih mail naloga je potrebno promeniti u što kraćem roku, a dobro bi bilo promeniti i lozinke bilo gde drugo gde je ista lozinka korišćena.

Napomena: Spamhaus je prosledio liste kompromitovanih mail naloga hosting kompanijama koje su odgovorne za njih. Naša tehnička podrška je dostavila potrebne informacije i predloge kako se osigurati, te je dobro da proverite da li vam je stigao bilo kakav mail od nas.

Da li je zaista ovo kraj Qakbot-a?

Operacija Duck Hunt, iako uspešna, nije proizvela nikakva hapšenja, te se na žalost veruje da će u narednim mesecima Qakbot ponovo početi da gradi svoju infrastrukturu.

Inače, Qakbot je prvi put primećen oko 2008. godine, a započeo je kao trojanac, korišćen za razne vidove finansijske prevare, a za širenje je korišćena phishing kampanja.

Qakbot je dosta napredovao od ovog perioda, a samo u prethodnih godinu i po dana Qakbot je putem ransomware-a svojim kreatorima zaradio 58 miliona dolara.