Alte Malware nicht verschwindet, wie offensichtlich durch die jüngste Wiederaufleben der alten Fälle. Erst gestern berichteten wir über die erneute Verteilung des bekannten Backdoor.Nital und Gh0st RAT. Dieser Artikel wird auf eine andere alte Malware Stück der Wurm Art gewidmet - QakBot - die es schon seit 2009. Die Forscher verknüpften aktuell Microsoft Active Directory Aussperrungs QakBot.
Active Directory, Microsofts Verzeichnisserver, Administratoren ist so konzipiert, dass Netzwerke von einem einzigen Standort aus steuern,. Es ist nicht schwer, die Stress Active Directory Aussperrungen, sich vorzustellen, kann auf admins bringen.
Threat Zusammenfassung
Name | QakBot |
Art | Computer-Wurm, Banking-Trojaner, Informationen Stealer |
kurze Beschreibung | Ein Wurm verbreitet sich über Netzwerkfreigaben und Wechselmedien-Laufwerke. Der Wurm kann mehr Malware herunterladen, stehlen sensible Informationen, oder öffnen eine Hintertür auf dem angegriffenen System. Es ist auch ein Banking Trojan. |
Symptome | In ihrem letzten Betrieb, Opfer werden aus Active Directory-Konten gesperrt. |
Verteilungsmethode | Wechselmedien-Laufwerke, Netzwerke |
Detection Tool |
Überprüfen Sie, ob Ihr System von Malware betroffen ist
Herunterladen
Malware Removal Tool
|
Benutzererfahrung | Abonnieren Sie unseren Forum zu Besprechen QakBot. |
QakBot Technischer Überblick
Kurz setzen, QakBot ist ein Wurm durch Netzwerkfreigaben und Wechselmedien-Laufwerke verbreiten. Der Wurm kann mehr Malware herunterladen, stehlen sensible Informationen, oder öffnen eine Hintertür auf dem angegriffenen System. Vor einigen Jahren entdeckten Forscher, dass QakBot auch Rootkit-Fähigkeiten hat, die ihre Präsenz auf dem System verbergen und machen es stealthier.
Wie die neuesten mit QakBot zugeordnet Schäden - die Active Directory Aussperrungen - nahmen sie letzte Woche statt und sind ein erster für die Malware.
Nach Forscher bei IBM X-Force, betroffene Benutzer konnten Endpunkte zugreifen, Unternehmens-Servern und Netzwerkressourcen auf dem betroffenen Domains.
QakBot Verteilung
Nur ein paar Tagen ein Beitrag erschien auf Reddit anzeigt, um den erneuerten Zustand der Malware. Nach dem Reddit Benutzer, begann die Diskussion, ein Schulbezirk wurde „ganz betroffen“ über seine neueste Variante.
Die 2017 Variante hat mit Hilfe einer Pipette verbreitet, die über wartet 15 Minuten auszuführen. Dies geschieht, um die Möglichkeit der Erfassung von Sandkästen oder Anti-Viren-Engines zu verringern. Der Dropper öffnet dann eine ausführbare Datei, injiziert eine DLL-Datei, Überschreiben der Originaldatei. Schließlich, der Dropper-Downloads QakBot.
Wie bereits erwähnt, die Malware hat wurmähnliche Fähigkeiten durch seine Fähigkeit dargestellt selbst replizieren über freigegebene Laufwerke und Wechselmedien immer hatte. In seinen neuesten Kampagnen ist die Malware-Netzwerke mit der Propagation, Sperren Benutzer aus ihren Konten. Die Ausbreitung basiert auf dem Fahrrad durch Benutzeranmeldeinformationen und Domain, Forscher sagen,.
Um dies zu tun, die Malware-Paare Anmeldungen mit verschiedenen Passwort zu erraten Techniken wie erraten Passwörter durch Wörter in einem Wörterbuch mit. "Unter bestimmten Domain-Konfigurationen, die Wörterbuchangriff der Malware die Zielcomputer für den Zugriff in mehreren fehlgeschlagenen Authentifizierungsversuchen führen kann, die schließlich eine Kontosperrung auslösen,“Die Forscher erklärt in einem Blog-Post.
QakBot - ein Wurm und ein Banking Trojan
QakBot auch Unternehmen zum Ziel bekannt. Was es ist ein wahrer Albtraum macht, ist, dass es einen Teil Wurm, Teil Banking-Trojaner:
QakBot ist modular, Multi-Thread-Malware, deren verschiedene Komponenten Online-Banking-Anmeldeinformationen Diebstahl implementieren, eine Backdoor-Funktion, SOCKS-Proxy, umfangreiche anti-Forschung Fähigkeiten und die Fähigkeit, Anti-Virus zu unterminieren (VON) Werkzeuge. Abgesehen von seinen Umgehungstechniken, gegeben Admin-Rechte, QakBot aktuellen Variante können Sicherheits-Software läuft auf dem Endpunkt deaktivieren.
Oben auf alles andere, QakBot weiterhin der Lage sein, nicht entdeckt zu werden und ist sehr hartnäckig. Systemneustarts nicht funktionieren sowie Entfernungsversuche mit Registry runkey und geplante Tasks. Die Schadsoftware lädt noch nach jedem Neustart des Systems. Wie für die geplante Aufgabe in schtasks.exe - es wird die Malware-Lauf in bestimmten Intervallen machen.
Um es zusammenzufassen, QakBot ist ein Wurm, ein Banking-Trojaner und ein Informations Stealer. Interessant, es ist „auch der erste Trojaner, der ausschließlich den Geschäftsbankensektor Ziel wurde entwickelt, um, eine Berufung auf die sie wahr in den vergangenen acht Jahren gehalten hat“. Dies sind die betroffenen Sektoren durch die gefährliche Malware:
QakBot Mitigation und Schutz
Da QakBot zielt in erster Linie Banken und Unternehmen, potenzielle Opfer sollten adaptive Erkennung von Malware-Lösungen mit Echtzeitfunktionen nutzen. Das allererste, was, jedoch, ist Cyber-Bewusstsein, Forscher sagen,. "Die Benutzer können sich selbst und ihre Organisationen schützen, indem gerade Hygiene praktizieren, Deaktivieren Online-Inserate, Filterung Makroausführung in Dateien, die per E-Mail und das Beobachten andere Sicherheitsempfehlungen kommen".
Um QakBot Aktivität im Netzwerk zu mildern, Benutzer sollten Domänenkonten konfiguriert sind, mit der geringst möglichen Privilegien benötigt auszuführen Job Aufgaben beruhigen
Organisationen werden gebeten, ein zufälliges Domain-Admin-Konto aus Sicherheitsgründen zu erstellen und dann stellen Sie sicher, dass es berichtet direkt an der Sicherheitsinformation und Event-Management-System (SIEM) wenn es ein Versuch, es zu benutzen.
Und schlussendlich, Organisationen sollten Workstation-to-Workstation-Kommunikation, wo immer möglich, verhindern „möglich Malware aus den Gräben zu zwingen, und in Bereichen, in denen zentrale Detektionssysteme schnell abholt", Forscher schließen.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren