Peneliti Mendekripsi Kunci Registri Terenkripsi Qakbot Banking Trojan

  • Whatsapp
Peneliti Mendekripsi Kunci Registri Terenkripsi Qakbot Banking Trojan
Peneliti Mendekripsi Kunci Registri Terenkripsi Qakbot Banking Trojan

News.nextcloud.asia –

Peneliti keamanan siber telah memecahkan kode mekanisme yang digunakan trojan perbankan Qakbot yang serbaguna menangani penyisipan data konfigurasi terenkripsi ke dalam Registri Windows.

Qakbot, juga dikenal sebagai QBot, QuackBot dan Pinkslipbot, telah diamati di alam liar sejak 2007. Meskipun sebagian besar dibuat sebagai malware pencuri informasi, Qakbot telah mengubah tujuannya dan memperoleh fungsionalitas baru untuk memberikan platform serangan pasca-kompromi seperti Cobalt Strike Beacon, dengan tujuan akhir memuat ransomware pada mesin yang terinfeksi.

Pencadangan GitHub Otomatis

“Ini terus dikembangkan, dengan kemampuan baru yang diperkenalkan seperti gerakan lateral, kemampuan untuk mengekstrak email dan data browser, dan untuk menginstal malware tambahan,” kata peneliti Trustwave Lloyd Macrohon dan Rodel Mendrez dalam sebuah laporan yang dibagikan kepada The Hacker News.

Dalam beberapa bulan terakhir, kampanye phishing telah mencapai puncaknya dalam distribusi pemuat baru yang disebut SQUIRRELWAFFLE, yang bertindak sebagai saluran untuk mengambil muatan tahap akhir seperti Cobalt Strike dan QBot.

Versi Qakbot yang lebih baru juga memperoleh kemampuan untuk membajak email dan data browser serta memasukkan informasi konfigurasi terenkripsi yang berkaitan dengan malware ke dalam registri daripada menulisnya ke file di disk sebagai bagian dari upayanya untuk tidak meninggalkan jejak infeksi.

“Meskipun QakBot tidak sepenuhnya tanpa file, taktik barunya pasti akan menurunkan deteksinya,” peneliti Hornetsecurity menunjukkan pada bulan Desember 2020.

Mencegah Pelanggaran Data

Analisis Trustwave ke dalam malware bertujuan untuk merekayasa balik proses ini dan mendekripsi konfigurasi yang disimpan dalam kunci registri, dengan perusahaan keamanan siber mencatat bahwa kunci yang digunakan untuk mengenkripsi data nilai kunci registri berasal dari kombinasi nama komputer, nomor seri volume, dan nama akun pengguna, yang kemudian di-hash dan diberi salt bersama dengan pengenal satu byte (ID).

“Itu SHA1 Hasil hash akan digunakan sebagai kunci turunan untuk mendekripsi data nilai kunci registri masing-masing ke ID menggunakan RC4 algoritma,” kata para peneliti, selain menyediakan a Utilitas dekripsi berbasis Python yang dapat digunakan untuk mengekstrak konfigurasi dari registri.

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *