常にアクティブな複数の Qakbot キャンペーンは、10 年前のマルウェアが引き続き多くの攻撃者の選択ツールであり、それを利用する複数の脅威アクター グループのニーズに合わせて適応するカスタマイズ可能なカメレオンであることを証明しています。 2007 年にバンキング型トロイの木馬として出現して以来、Qakbot は、攻撃者に幅広い機能を提供する多目的マルウェアへと進化しました: 偵察と水平移動の実行、データの収集と抽出、または影響を受けるデバイスへの他のペイロードの配信。
そのモジュラーな性質により、Qakbot は今日のコンピューティング環境にとどまることができます。これにより、攻撃者は、マルウェアが到達するネットワーク環境に応じて、各攻撃チェーンに必要な「ビルディング ブロック」を選択することができます。多くの場合、Qakbot を配信する攻撃者は、影響を受けるデバイスへのアクセスを他の攻撃者に販売し、攻撃者はそのアクセスを自分の目的のために使用します。たとえば、Qakbot の感染は、Egregor や Conti などの人間が操作するランサムウェアにつながることが知られています。したがって、その影響は広範囲に及びます。当社の脅威データに基づくと、最近の Qakbot の活動は、アフリカ、アジア、ヨーロッパ、南北アメリカなど、ほぼすべての大陸のいくつかの国と地域で見られます。
Qakbot のモジュール性と柔軟性は、セキュリティ アナリストと防御側にとって課題となる可能性があります。これは、影響を受けるデバイスごとに Qakbot の同時キャンペーンが著しく異なるように見える可能性があり、これらの防御側がそのような攻撃にどのように対応するかに大きな影響を与える可能性があるためです。したがって、Qakbot に対する包括的で協調的な防御戦略を構築するには、Qakbot をより深く理解することが最も重要です。
最近の 3 つの注目すべき Qakbot キャンペーンの調査と分析に基づいて、Qakbot 攻撃チェーンをいくつかの異なるビルディング ブロックに分類します。すべてが観察されるわけではありませんが、各キャンペーン内で、これらの構成要素の一部は一貫しています。これらの詳細を知ることで、防御側は、ソースに関係なく、関連する脅威と攻撃を正しく特定できます。このようなインテリジェンスと洞察は、 Microsoft 365 Defenderを通じて提供されるような Microsoft の多層保護テクノロジにもフィードされ、攻撃チェーンのさまざまな段階でこれらの脅威を検出してブロックします。
このブログ投稿では、Qakbot キャンペーンを構成する各ビルディング ブロックの技術的な詳細を提供します。また、防御者がこの脅威をプロアクティブに表面化するのに役立つ緩和策の推奨事項と高度なハンティング クエリも含まれています。
メールからランサムウェアまで: Qakbot キャンペーンの分析
他のモジュラー マルウェアと同様に、Qakbot の感染は、該当するマルウェアを使用するオペレータと脅威キャンペーンの展開に応じて、影響を受けるデバイスごとに異なって見える場合があります。ただし、当社の分析に基づいて、Qakbot 関連のインシデントを一連の個別の「ビルディング ブロック」に分解することができます。これは、セキュリティ アナリストが Qakbot キャンペーンを特定して対応するのに役立ちます。以下の図 1 は、これらの構成要素を表しています。私たちの観察によると、各 Qakbot 攻撃チェーンは、各色のブロックを 1 つしか持つことができません。最初の行とマクロ ブロックは、Qakbot の配信に使用される電子メール メカニズムを表しています。
図 1. 観測された Qakbot 攻撃チェーンの「構成要素」
各キャンペーン内の特定の構成要素は一貫していますが、影響を受ける各デバイスでそれらのすべてが観察されるわけではありません。以下の Qakbot キャンペーンのサンプル (図 2) に見られるように、上の 2 行は 3 つのデバイスにマルウェアを配信するために採用されたメカニズムを表しており、次の行は各デバイスで一度実行されるアクティビティを表しています。たとえば、デバイス A と C には電子メールの流出が見られましたが、デバイス B にはそうではなかったことに注意してください。
図 2. 単一の Qakbot キャンペーンの影響を受けるデバイス間の違いの例
したがって、アナリストの観点から見ると、図 2 が意味することは、1 つのデバイスで電子メールの流出が観察されなかったとしても、組織のネットワークでこのルーチンがまったく発生しなかったという意味ではないということです。
私たちの調査から、10 のビルディング ブロックを特定しました。これについては、以降のセクションで説明します。
メール配信
Qakbot は、悪意のあるリンク、悪意のある添付ファイル、または最近では埋め込み画像の 3 つの電子メール方法のいずれかを介して配信されます。
これらの電子メール キャンペーンのメッセージは通常、1 ~ 2 文のルアーで構成されています (たとえば、「添付ファイルを参照してください」や「ファイルを表示するにはここをクリックしてください」など)。このような簡潔さは、ターゲット ユーザーに十分な情報と行動を促すフレーズを提供しますが、コンテンツ セキュリティ ソリューションが検出できる情報はほとんどありません。
図 3. Qakbot キャンペーンの電子メール メッセージの例
悪意のあるリンク
Qakbot を配信することを確認した電子メール キャンペーンには、通常、メッセージ本文に標的のデバイスにマルウェアをダウンロードする URL が含まれています。今年の初めに、これらの URL の一部に HTTP または HTTPS プロトコルが欠落しており、ほとんどの電子メール クライアントでクリックできないことが判明しました。そのため、マルウェアをダウンロードするには、ターゲットの受信者が手動でリンクをブラウザに入力する必要がありました。
図 4. クリックできない URL と偽の返信ルアーを含む Qakbot キャンペーン メールのサンプル
プロトコルの欠落は、サンドボックスを介してリンクを爆発させる一部の電子メール セキュリティ ソリューションに課題をもたらしますが、ターゲットが URL をコピーして貼り付けるために必要な追加の手順は、攻撃の成功率を妨げます。ただし、メッセージのフォーマットが不足している場合があるため、偽の返信ルアーを使用してコンテンツで補っていることにも注意してください。
以前の Qakbot やその他の主要なマルウェア配信キャンペーンですでに見られたこの偽の返信手法は、盗まれた件名とメッセージ コンテンツを使用して、以前の電子メール スレッドの一部として表示される悪意のある返信を作成します。 Qakbot は、以前の感染から流出した電子メール スレッドを再利用して、次の電子メール キャンペーン実行用の新しいテンプレートを作成することでも知られており、攻撃者が実際の件名とメッセージ コンテンツを使用してなりすましの返信を作成できるようにします。これにより、ターゲット ユーザーがリンクをクリックまたはコピーして貼り付ける可能性が高まります。これは、このキャンペーンから受け取るメッセージがより期待されるためです。同時に、攻撃者はメッセージ間のエントロピーの増大から利益を得ます。同じキャンペーンの 2 つの電子メールは同じではないからです。残念なことに、このようなエントロピーは、セキュリティ アナリストや防御者がキャンペーンの範囲を完全に把握することをより困難にします。
悪意のある添付ファイル
攻撃者が送信する Qakbot 関連の電子メールには、ZIP ファイルが添付されている場合があります。 ZIP 内には、Excel 4.0 マクロを含むスプレッドシートがあります。
添付ファイル名は、ターゲットの受信者をだまして開封させるための公式の企業文書として表示されることを意図しています。たとえば、今年の 9 月から 11 月にかけて観測された添付ファイルの命名パターンには、次のものが含まれていましたが、これらに限定されませんでした。
- CMPL-[数字]-[月]-[日].zip
- Compensation_Reject-[数字]-[mmddyyyy].zip
- Document_[数字]-[mmddyyyy].zip
- Document_[数字]-Copy.zip
- PRMS-[数字].zip
- Rebate-[数字]-[mmddyyyy].zip
- REF-[数字]-[月]-[日].zip
- TXN-[数字].zip
図 5. ZIP 添付ファイルを含む Qakbot キャンペーン メールのサンプル
埋め込み画像
Qakbot は、その 3 番目で最新の進化として、本文に埋め込まれた画像のみを含む電子メール メッセージを介して到着します。これは、添付ファイルや直接のハイパーリンクを使用した以前の配信方法とはまったく対照的です。 Craigslist の電子メール メッセージング システムを悪用して悪意のあるファイルを配信する電子メールに関連付けられた悪意のある Excel ファイルからのマルウェア感染を調査しているときに、このQakbot キャンペーンを発見しました。
このキャンペーンは以前の Qakbot メール キャンペーンよりも複雑です。これは、以前の配信方法とは異なり、メール内の悪意のあるコンポーネント (この場合は悪意のある URL) がテキストとしてメッセージ本文に含まれているのではなく、代わりに画像内に含まれているためです。メッセージ本文のように見えます。この画像は、受信者に URL をブラウザに直接入力して Excel ファイルをダウンロードするように指示しており、最終的に Qakbot につながります。
上記の画像は、自動化された Craigslist 通知を偽装するようにフォーマットされたテキストのスクリーンショットであり、Craigslist への投稿で想定されるポリシー違反を対象の受信者に通知します。この偽の通知はさらに、ブラウザに URL を入力して詳細情報のフォームにアクセスするようユーザーに指示し、フォローしない場合はアカウントを削除すると脅迫しています。
図 6. Craigslist キャンペーンの電子メールで、画像が埋め込まれてターゲットをおびき寄せる
攻撃者は Craigslist の広告投稿をクロールして電子メール リレー アドレスを収集し、そこからカスタムのメッセージを直接送信します。電子メール リレーは、送信されたメッセージを受信し、送信者の実際の電子メール アドレスを含む個人データを削除し、元の投稿の詳細をメッセージの末尾に追加してから、Craigslist インフラストラクチャを介して転送し、元の送信者をマスクします。その結果、広告の所有者は、正規のcraigslist.orgドメインから送信された匿名化された電子メールを受け取ります。
攻撃者は電子メール リレー システムを悪用することで、匿名のまま Craigslist になりすますことができます。また、従来のセキュリティ ソリューションでは一般に安全と見なされている人気のあるドメインからメッセージが送信されるため、メッセージに正当性が追加されます。
私たちの観察によると、この電子メール キャンペーンは仕事関連の広告に返信しています。攻撃者は、企業ネットワークに接続しているときにそのような種類のメッセージを開く受信者を標的にしようとしていると考えられます。ただし、当社の脅威データに基づくと、ユーザーが関連する悪意のあるドメインにアクセスする成功率は比較的低くなっています。このような結果になるのは、キャンペーンで対象の受信者が URL を入力する追加の手順を実行する必要があるためです。
マクロの有効化
攻撃者が Qakbot を配信するために使用する電子メールの方法はさまざまですが、これらのキャンペーンには共通して、Office ドキュメントで悪意のあるマクロ、特に Excel 4.0 マクロが使用されています。脅威は検出を回避する試みとして Excel 4.0 マクロを使用しますが、この機能はデフォルトで無効になっているため、このような脅威を適切に実行するには、ユーザーが手動で有効にする必要があることに注意してください。
ユーザーが悪意のある Excel ファイルをダウンロードして開くと、ドキュメント内のテキストがユーザーをおびき寄せてマクロを有効にしようとします。このテキストは、ファイルが Microsoft や DocuSign などのサービスによって「保護」されており、ドキュメントの実際のコンテンツを表示するにはユーザーがマクロを有効にする必要があると主張しています。
図 7. ターゲットにマクロを有効にするよう促す DocuSign ルアーを含む XLS ファイル
ユーザーが先に進んでマクロを有効にすると、Excel は、ドキュメントが開いたときに自動的に実行されるように、マクロに定義済みのサブプロシージャがあるかどうかをすぐに確認します。この場合、 auto_open() 。このサブプロシージャ内で記述された Visual Basic for Applications (VBA) コードは、新しいマクロシートを作成し、そのセルのいくつかに Excel 4.0 数式を書き込みます。次に、 Application.Runメソッドを呼び出して、このシート内の 1 つのセルにジャンプします。このように、VBA コードは、マクロシートに書き込まれたばかりの Excel 4.0 マクロ コードを開始します。
図 8. VBA スクリプトによって生成された Excel 4.0 マクロの例。
VBA から Excel 4.0 マクロを生成して呼び出すことは、静的分析ツールがマクロをデコードするのを防ぐための回避手法です。ユーザーがドキュメントを閉じると、 auto_close()関数が起動し、VBA マクロによって作成された悪意のあるマクロシートをクリーンアップして削除します。
Qakbot 配信
マクロが有効になると、攻撃の次の段階が始まります。まず、マクロは定義済みの一連の IP アドレスまたはドメインに接続して、悪意のあるファイルをダウンロードします。一部のマクロは、3 つのドメインに同時に接続し、同じ名前のファイルをダウンロードするように設計されています。これは、次の 2 つの理由のいずれかで行われる可能性があります。1 つ目は、ドメインの 1 つまたは 2 つがブロックまたは削除された場合でも、マルウェアが引き続き配信されるようにするための冗長対策です。 2 つ目は、攻撃者が必要に応じて複数のペイロードを配信できるようにすることです。
図 9. 3 つの場所から 3 つのペイロードをダウンロードしようとする試行を示す、生成された Excel 4.0 マクロの一部。
ほとんどの場合、ダウンロードされるファイルは、特定のファイル タイプを防止する Web フィルタリング システムをバイパスするために、ファイル拡張子が.htmまたは.datに変更された Portable Executable (PE) ファイルです。特定のキャンペーンによって、これらのファイルの名前は大きく異なります。たとえば、 .htmファイルを使用した最近のキャンペーンでは、 goh[1].htmやj[1].htmなどの単純な文字と数字で名前が付けられていました。ただし、請求書のテーマと.datファイルを使用した別のキャンペーンでは、 44494.4409064815[1].datのように非常に長い数字の文字列で名前が付けられていました。繰り返しますが、キャンペーンごとのこれらの違いは、Qakbot が異なる攻撃者によって同時に使用されていることを浮き彫りにしています。これにより、同じマルウェアの同時キャンペーンが著しく異なって見える可能性があります。
このファイルがデバイスにダウンロードされると、ファイルはすぐに、存在しないファイル名拡張子を持つ別のファイル名に変更されます。いくつかの例には、 test.testとgood.good ( .htmファイルから派生)、またはGiCelod.waGicとCelod.wac ( .datファイルから派生) が含まれます。 .htmファイルに関連するインシデントの多くでは、 C:Datopというフォルダーが作成され、ファイルはその場所に保存されます。一方、 .datファイルを含むインシデントは、 C:UsersAppDataLocalTempの場所に保存されます。
発見のためのプロセス注入
ユーザーが最終的に取得したファイルは、正規のプロセスに挿入されるregsvr32.exeを使用して読み込まれます。最近の Qakbot 関連のキャンペーンでは、 MSRA.exeとMobsync.exeの両方がこのプロセス インジェクションの動作に使用されています。
挿入されたプロセスは、次のような一連の検出コマンドに使用されます。
スケジュールされたタスク
次に、前のビルディング ブロックから挿入されたプロセスによって、ランダムに生成された名前の.dllファイルが作成されます。この DLL は、特定の ID の既存のスケジュールされたタスクを照会するために使用され、そのスケジュールされたタスクがまだ存在しない場合、DLL はタスクを作成します。スケジュールされたタスクは、次のコマンド ラインで説明されているように、永続化の手段として定義済みのタスクを実行することです。
このスケジュールされたタスクは/Fフラグを使用して作成されます。これは、マルウェアが特定のスケジュールされたタスクを既に照会している場合でも、指定されたタスクが既に存在する場合に警告を抑制するために使用されます。
資格情報とブラウザ データの盗難
Qakbot は、複数の場所から資格情報を盗もうとします。最初に、挿入されたMSRA.exeまたはMobsync.exeプロセスが Vault Credential Library ファイルを読み込み、資格情報を列挙します。さらに、このプロセスはping.exeに侵入し、 passport.net*パラメータを使用して CredMan から資格情報を読み取ろうとします。
Qakbot はブラウザ データも標的にします。挿入されたプロセスは、 esentutl.exeプロセスを起動します。 Cookie やブラウザー履歴などのブラウザー データは、次のコマンドを使用して Web キャッシュから復元されます。
これらのコマンドは、特にログ ファイル、システム ファイル、およびデータベース ファイル (/l、/s、および /d) を検索します。
メールの流出
前のセクションで述べたように、Qakbot を配信する電子メールの多くは偽の返信手法を使用しています。これを行うために、Qakbot は影響を受けるデバイスから電子メールを盗み出すようにも設計されています。
電子メールを盗み出すために、注入されたプロセスはping.exeプロセスを起動し、ローカルホストに ping するコマンドを起動します。
そこから、 ping.exeを使用して数十の電子メール メッセージ ファイルをコピーし、「電子メール ストレージ」フォルダに保存します。これらの電子メール メッセージは、 1.emlから始まり、攻撃者がコピーする電子メール メッセージの数だけ 1 ずつ増加する、連続した名前付けスキーマで保存されます。攻撃者が 1 つのデバイスから 100 を超えるメッセージ ファイルをコピーした事例を特定しました。
コピーされた電子メール ファイルが抽出されると、 rmdirコマンドを使用して「Email Storage」フォルダを削除することにより、アクションの証拠が削除されます。
追加のペイロード、ラテラル ムーブメント、ランサムウェア
今日の多くのマルウェアの亜種がそうであるように、Qakbot をデバイスに侵入させることは、多くの場合、最終的に大規模な攻撃になる最初のステップにすぎません。攻撃者は、Qakbot 感染からのアクセスを使用して、追加のペイロードを配信したり、購入したアクセスを目的に使用できる他の脅威アクターにアクセスを販売したりできます。
多くの場合、攻撃者は、攻撃の初期段階で取得した資格情報を使用してネットワーク全体を横方向に移動することで、攻撃の範囲を拡大します。いくつかの例では、攻撃者は Windows Management Instrumentation (WMI) を使用して横方向に移動し、新しくアクセスしたデバイスに悪意のある DLL をドロップします。そこから、攻撃者は最初のアクセス デバイスで行ったのと同じ一連の検出コマンドを実行し、さらに資格情報を盗み出します。
他の例では、悪意のある DLL と一緒に他の悪意のあるファイルが投下されます。たとえば、悪意のある DLL をドロップする前に、影響を受けるデバイスのセキュリティ ツールをオフにするように特別に設計されたいくつかの BAT ファイルがドロップされました。攻撃チェーンのこれらのわずかな違いは、複数の攻撃者が Qakbot を横方向の移動に使用していることを示しています。
横方向の動きに加えて、攻撃者は影響を受けるデバイス、特に Cobalt Strike に追加のペイロードをドロップすることがよくあります。 Qakbot には Cobalt Strike モジュールがあり、以前に Qakbot に感染したマシンへのアクセスを購入したアクターは、独自の Cobalt Strike ビーコンと追加のペイロードをドロップする可能性もあります。 Cobalt Strike を使用すると、攻撃者は影響を受けるデバイスへの完全なハンズオン キーボード アクセスが可能になり、追加の検出を実行し、ネットワーク上の価値の高いターゲットを見つけ、横方向に移動し、追加のペイロード (特に人間が操作するランサムウェアの亜種) をドロップできます。コンティとエグレゴール。
脅威の再興と進化には、協調的な脅威防御が必要です
脅威のランドスケープにおける Qakbot の継続的な蔓延には、このマルウェア、そのコンポーネント、およびその他の同様の脅威を攻撃チェーンのすべての段階 (電子メール配信、ネットワーク アクティビティ、エンドポイントの動作、後続の攻撃者アクティビティ) で検出して阻止できる包括的な保護が必要です。 Microsoft 365 Defenderは、機械学習ベースの保護を含む複数層の動的保護テクノロジを使用し、電子メール、エンドポイント、ID、およびクラウド アプリからの脅威データを関連付けて、調整された防御を提供します。また、脅威の専門家のグローバル ネットワークによって支えられており、脅威の状況を継続的に監視して、新たに復活し、進化している攻撃者のツールや手法を探しています。
Microsoft Defender for Office 365は、Qakbot を配信しようとする電子メールを検出してブロックします。 安全なリンクと安全な添付ファイルは、ターゲット受信者に配信される前に、メッセージ内のリンクと添付ファイルを調べて爆発させる組み込みのサンドボックスを活用することで、リアルタイムの保護を提供します。ただし、このようなアーティファクトのないメッセージの場合、Microsoft Edge のMicrosoft Defender SmartScreenおよびそれをサポートするその他の Web ブラウザーは、悪意のある Web サイトをブロックし、悪意のある Excel ファイルがデバイスにダウンロードされるのを防ぎます。
エンドポイントでは、 攻撃面削減ルールが、Qakbot によって使用される一般的な攻撃手法と、その活動から生じる可能性のあるその後の脅威を検出してブロックします。 エンドポイントの検出と応答 (EDR) 機能は、悪意のあるファイル、悪意のある動作、およびその他の関連イベントを実行前後に検出します。 ネットワーク保護は、Qakbot によるその後の悪意のあるドメインや IP アドレスへの接続試行もブロックします。 高度なハンティングにより、防御側はカスタム検出を作成して、このマルウェアやその他の関連する脅威をプロアクティブに検出できます。
防御者は、次の軽減手順を実行して、組織内での Qakbot の影響を軽減することもできます。
- Office 365 のメール フィルタリング設定を確認して、なりすましメール、スパム、およびマルウェアを含むメールを確実にブロックしてください。 Office 365 セキュリティを使用して、強化されたフィッシング保護と、新しい脅威やポリモーフィック バリアントに対するカバレッジを実現します。クリック時にリンクを再確認するように Office 365 を構成します。
- Exchange Online でZero-hour Auto Purge (ZAP)を有効にします。これは、新たに取得した脅威インテリジェンスに対応して、既に配信された悪意のあるメッセージをさかのぼって検出し、無力化する電子メール保護機能です。
- SmartScreenをサポートする Microsoft Edge やその他の Web ブラウザーを使用するようユーザーに勧めてください。 SmartScreen は、フィッシング サイト、詐欺サイト、エクスプロイトやホスト マルウェアを含むサイトなど、悪意のある Web サイトを識別してブロックします。 ネットワーク保護を有効にして、アプリケーションやユーザーがインターネット上の悪意のあるドメインやその他の悪意のあるコンテンツにアクセスするのを防ぎます。
- Windows Antimalware Scan Interface (AMSI) によるランタイム マクロ スキャンがオンになっていることを確認して、 悪意のある XLMまたは VBA マクロを阻止します。この機能はデフォルトで有効になっていますが、マクロ ランタイム スキャン スコープのグループ ポリシー設定が [すべてのファイルに対して有効にする] または [低信頼ファイルに対して有効にする] に設定されている場合はオンになっています。
- Microsoft Defender ウイルス対策またはウイルス対策製品の同等の製品でクラウド配信の保護を有効にして、急速に進化する攻撃者のツールと手法に対応します。クラウドベースの機械学習保護により、新しい未知の亜種の大部分がブロックされます。
- 改ざん防止機能を有効にして、攻撃者がセキュリティ サービスを停止できないようにします。
- Microsoft 以外のウイルス対策が脅威を検出しない場合や、Microsoft Defender ウイルス対策がパッシブ モードで実行されている場合でも、 Microsoft Defender for Endpointが悪意のあるアーティファクトをブロックできるように、ブロック モードで EDR を実行します。ブロック モードの EDR はバックグラウンドで動作し、侵害後に検出された悪意のあるアーティファクトを修正します。
- 完全に自動化されたモードで調査と修復を有効にして、Microsoft Defender for Endpoint がアラートに対して即座にアクションを実行して違反を解決し、アラートの量を大幅に削減できるようにします。
- デバイス検出を使用して、ネットワーク上の管理されていないデバイスを見つけて Microsoft Defender for Endpoint にオンボードすることで、ネットワークの可視性を高めます。
- 多要素認証 (MFA) を使用して、資格情報の盗難を軽減し、攻撃者のアクセスを防ぎます。特権アカウントには MFA を常にオンに保ち、通常のアカウントにはリスクベースの MFA を適用します。 Azure MFA、証明書、Windows Hello for Business などのパスワードレスのプライマリ認証方法への移行を検討してください。
- Office 365 の Microsoft Defender の攻撃シミュレーターを使用して、現実的でありながら安全な、シミュレートされたフィッシングおよびパスワード攻撃キャンペーンを組織で実行します。 スピア フィッシング (資格情報収集) シミュレーションを実行して、未承諾メッセージの URL をクリックして資格情報を開示することに対してエンド ユーザーをトレーニングします。
- スピア フィッシング メールや水飲み場攻撃のルアーを特定する方法、ソーシャル メディアの個人情報やビジネス情報を保護する方法、未承諾の通信をフィルタリングする方法について、エンド ユーザーを教育します。偵察の試みやその他の疑わしい活動を報告するようユーザーに勧めます。
Microsoft 365 Defender を使用して、自動化されたクロスドメイン セキュリティによって攻撃を阻止する方法について説明します。
Microsoft 365 Defender 脅威インテリジェンス チーム
付録
Microsoft の研究者は、 Microsoft 365 セキュリティ センターを通じて Microsoft 365 Defender のお客様が利用できる次の脅威分析レポートを公開しました。
- マルウェア プロファイル: Qakbotは、このブログ投稿で説明されている Qakbot の構成要素に関する追加情報を提供します。これには、以前に監視されたキャンペーンや詳細な緩和手順への参照が含まれます。
- Threat Insights: Qakbot Abuses Craigslist の電子メール リレーは、Qakbot を配信する最近確認された Craigslist の電子メールの悪用キャンペーンに関する技術的な詳細を提供します。
これらのレポートは、組織がこれらのアクティブな攻撃を理解し、影響を受けているかどうかを判断し、関連するインシデントとアラートを調査するための出発点として役立ちます。レポートは、Microsoft 365 Defender 全体から集約されたリアルタイム データを提供および統合し、組織に対する脅威の全体的な影響を示します。
次のセクションでは、Qakbot と関連する脅威の表面化に役立つ特定の Microsoft 365 Defender 検出を提供します。
ウイルス対策
Microsoft Defender ウイルス対策は、Qakbot インストーラーを次のマルウェアとして検出します。
Qakbot ダウンローダー
Qakbot インプラント
Qakbot の動作
アクティビティ グループの動作に基づく追加の検出
Qakbot は、複数のアクターによるデータ流出、ラテラル ムーブメント、ランサムウェアなど、人間が操作する攻撃行動に移行する可能性が高いため、感染後に検出される検出は大きく異なる可能性があります。このレポートに記載されている活動中、最初の感染後に少なくとも 1 つの主要な活動グループに Qakbot へのアクセスが提供されましたが、他のグループがアクセスを購入することが知られているため、高度なハンティング クエリ、動作、または Qakbot 感染によって示される初期感染はすべて完全に調査する必要があります。 .
- 動作:Win32/Mikatz.gen!B
- 動作:Win32/MimikatzTrigger
- 動作:Win32/TurtleLoader.A!dha
- 動作:Win32/CobaltStrike.A!nri
- 動作:Win32/UACBypassExp.A!mmc
エンドポイントの検出と応答 (EDR)
セキュリティ センターの次のタイトルのアラートは、Qakbot の初期感染と将来の人が操作するアクティビティまたはランサムウェア アクティビティをカバーするこのレポートの資料に直接関連する、ネットワーク上の脅威アクティビティを示している可能性があります。
- Qakbot マルウェア
- Qakbot クレデンシャル スティーラー
- Qakbot ダウンロード URL
- Qakbot ネットワーク インフラストラクチャ
メールセキュリティ
Microsoft Defender for Office 365 は、悪意のある電子メールをブロックおよび識別するための強化されたソリューションを提供します。 電子メール エンティティ ページでは、管理者は電子メールに関する強化された情報を統合ビューで取得できます。管理者は、受信トレイに影響を与える既知のキャンペーンを表示し、ドリルダウンして動的分析からすべての添付ファイルまたは URL デトネーションの詳細を表示することにより、悪意のある電子メールを調査できます。
次の動的爆発シグネチャは、Qakbot に関連する脅威活動を示している可能性があります。メールキャンペーンビューを利用することで、次のシグナルのキャンペーン サブタイプに基づいてフィルタリングできます。ただし、これらの信号は、無関係の脅威活動によってトリガーされる可能性があります。
- Downloader_Macro_Donoff_ZGA
高度な狩猟
以下の高度なハンティング クエリは、この記事の執筆時点では正確です。最新のクエリについては、 aka.ms/QakbotAHQにアクセスしてください。
悪用の可能性がある活動を特定するには、Microsoft 365 Defender で次のクエリを実行します。
Craigslist のなりすましドメインが XLS ダウンロードにつながる
このクエリを使用して、Craigslist.org になりすますために登録された悪意のあるドメインに接続しているデバイスを特定します。これらのドメインは、ターゲットを悪意のある XLS ダウンロードに誘導するリダイレクターとして機能します。
DeviceNetworkEvents
| where RemoteUrl matches regex @"abuse.[a-zA-Z]d{2}-craigslist.org"
異常な Excel 生成後の Qakbot に好まれるプロセスの実行
このクエリを使用して、最近の Qakbot 実行からの追加のマーカーを含む Qakbot ペイロードと一致する異常なプロセスを起動する Excel を検索します。このような異常なプロセスの存在は、ペイロードが配信されて実行されたことを示していますが、偵察と埋め込みの成功はまだ完了していません。
DeviceProcessEvents
| where InitiatingProcessParentFileName has "excel.exe" or InitiatingProcessFileName =~ "excel.exe"
| where InitiatingProcessFileName in~ ("excel.exe","regsvr32.exe")
| where FileName in~ ("regsvr32.exe", "rundll32.exe")
| where ProcessCommandLine has @".."
Qakbotの偵察活動
このクエリを使用して、コード インジェクションが発生した後の偵察およびビーコン アクティビティを見つけます。偵察コマンドは Qakbot の現在のバージョンと一致しており、システム情報を盗み出すために自動的に実行されます。このデータは、盗み出されると、人間が操作するアクションの優先順位付けに使用されます。
DeviceProcessEvents
| where InitiatingProcessFileName == InitiatingProcessCommandLine
| where ProcessCommandLine has_any (
"whoami /all","cmd /c set","arp -a","ipconfig /all","net view /all","nslookup -querytype=ALL -timeout=10",
"net share","route print","netstat -nao","net localgroup")
| summarize dcount(FileName), make_set(ProcessCommandLine) by DeviceId,bin(Timestamp, 1d), InitiatingProcessFileName, InitiatingProcessCommandLine
| where dcount_FileName >= 8
ping.exe による Qakbot メール盗用
このクエリを使用して、「ping.exe -t 127.0.0.1」を使用して後続のアクションを難読化する、Qakbot によって実行される電子メール窃盗活動を見つけます。発生した電子メールの盗難はオペレーターに流出する可能性があり、マルウェアが自動化された活動の大部分を中断することなく完了したことを示しています。
DeviceFileEvents
| where InitiatingProcessFileName =~ 'ping.exe'
| where FileName endswith '.eml'
ローカルの電子メール ストアにアクセスしようとする一般的な試み
このクエリを使用して、Outlook 電子メールを含むローカル パス内のファイルへのアクセス試行を検出します。
DeviceFileEvents
| where FolderPath hasprefix "EmailStorage"
| where FolderPath has "Outlook"
| project FileName, FolderPath, InitiatingProcessFileName,
InitiatingProcessCommandLine, DeviceId, Timestamp
流出のための電子メール収集
このクエリを使用して、後で盗み出すために電子メールをコピーして保存しようとする試みを見つけます。
DeviceFileEvents
| where InitiatingProcessFileName =~ 'ping.exe' and InitiatingProcessCommandLine == 'ping.exe -t 127.0.0.1'
and InitiatingProcessParentFileName in~('msra.exe', 'mobsync.exe') and FolderPath endswith ".eml"
Comments