近期，美國司法部宣布，在一項(xiàng)由FBI牽頭、名為“獵鴨行動”的行動中，來自美國、法國、德國、荷蘭、英國、羅馬尼亞和拉脫維亞的多國執(zhí)法部門聯(lián)合端掉了老牌僵尸網(wǎng)絡(luò)Qakbot。該行動不僅摧毀了其基礎(chǔ)設(shè)施，還在全球“拯救”了70萬臺受感染的設(shè)備。

執(zhí)法部門認(rèn)為，Qakbot與全球至少 40 起針對公司、醫(yī)療保健供應(yīng)商和政府機(jī)構(gòu)的勒索軟件攻擊存在關(guān)聯(lián)，造成了數(shù)億美元的損失。FBI局長克里斯托弗·雷 (Christopher Wray) 表示，此次執(zhí)法行動已徹底消滅了這個(gè)影響深遠(yuǎn)的網(wǎng)絡(luò)犯罪供應(yīng)鏈。

為何Qakbot如此臭名昭著，它到底有何能耐，它又是如何在此次執(zhí)法行動中突然隕落的？

誕生自15年前的Qakbot

Qakbot也被稱為“Qbot”和“Pinkslipbot”，在互聯(lián)網(wǎng)全面普及的早期就開始針對銀行展開攻擊活動，首次在野外發(fā)現(xiàn)的時(shí)間為2008年。根據(jù)Check Point的分析，Qakbot背后由東歐網(wǎng)絡(luò)犯罪分子運(yùn)營，數(shù)年來一直在不斷發(fā)展和維護(hù)，逐漸成為如瑞士軍刀般多功能性的惡意軟件。在2023年6月發(fā)布的《全球威脅指數(shù)》報(bào)告中，Qakbot成為上半年最猖獗的惡意軟件，并連續(xù)5個(gè)月榮登榜首。

2023上半年惡意軟件排行（Check Point）

Qakbot最初是以竊取銀行憑證、網(wǎng)站 Cookie 和信用卡信息為主的銀行木馬，并陸續(xù)具備了鍵盤記錄、后門功能和逃避檢測等諸多功能。鑒于自身越發(fā)強(qiáng)大的能力，Qakbot逐漸演變成一種惡意軟件交付服務(wù)，已被包括 Conti、ProLock、Egregor、REvil、MegaCortex 和 Black Basta等許多著名勒索軟件組織用作初始感染手段，以實(shí)施勒索軟件攻擊、數(shù)據(jù)竊取和其他惡意網(wǎng)絡(luò)活動。

典型樣本分析

在被廣泛分析的2020-2021變種版本中，卡巴斯基總結(jié)了Qakbot 的感染連：

• 目標(biāo)收到一封帶有附件或鏈接的網(wǎng)絡(luò)釣魚電子郵件;
• 打開惡意附件/鏈接并被誘騙點(diǎn)擊“啟用內(nèi)容”;
• 執(zhí)行惡意宏，加載的有效負(fù)載(Stager)包括另一個(gè)包含加密資源模塊的二進(jìn)制文件;
• 有效負(fù)載將“Loader”加載到內(nèi)存中，內(nèi)存在運(yùn)行時(shí)解密并運(yùn)行有效負(fù)載;
• 有效負(fù)載與 C2 服務(wù)器通信;
• 將ProLock 勒索軟件等其他威脅推送到受感染的設(shè)備。

Qakbot感染鏈（卡巴斯基）

Qakbot包含的惡意附件或超鏈接的釣魚郵件包括回復(fù)鏈電子郵件攻擊，即威脅行為者使用竊取的電子郵件線程，然后用自己的郵件和附件惡意文檔進(jìn)行回復(fù)。一旦安裝在目標(biāo)設(shè)備上，Qakbot就會部署勒索軟件等下一階段的有效負(fù)載，并把受感染設(shè)備變?yōu)榻┦W(wǎng)絡(luò)的一部分，向其他設(shè)備發(fā)送釣魚郵件進(jìn)行滲透。

Qakbot 回復(fù)鏈網(wǎng)絡(luò)釣魚電子郵件

釣魚郵件包含惡意文檔作為附件或鏈接，用于在目標(biāo)設(shè)備上安裝 Qakbot惡意文件。而Qakbot的活絡(luò)之處也在于能夠不斷更新傳遞其有效負(fù)載的 Windows 文件格式。

防不勝防的多種文件“誘餌”

根據(jù)Zscaler的研究，Qakbot能夠?yàn)E用包括PDF、HTML、XHTML（擴(kuò)展 HTML）、WSF（Windows 腳本文件）、JS（Javascript）、PS（Powershell）、XLL（Excel 插件）、HTA（HTML 應(yīng)用程序）、 XMLHTTP等多種文件格式，僅在今年上半年，Qakbot在釣魚郵件中就變換了多種文件載體。今年年初，Qakbot 開始通過 OneNote 文件傳播，而到了3月，又開始使用 PDF 和 HTML 文件作為初始攻擊向量來下載更多階段文件。

OneNote被認(rèn)為是具有吸引力的攻擊載體，因其應(yīng)用廣泛，且支持嵌入各類腳本文件，被Qakbot大規(guī)模濫用，通過包含惡意的 VBS 或 HTA、LNK 快捷方式作為附件，當(dāng)受害目標(biāo)不慎點(diǎn)擊其中攜帶的附件，就可能觸發(fā)一連串訪問請求Powershell.exe 執(zhí)行的惡意行為。

在以PDF文件為誘餌的攻擊活動中，研究人員觀察到這類附件通常以發(fā)票、報(bào)告等字樣誘導(dǎo)用戶點(diǎn)擊，文件中包含混淆的 JS (Javascript) 文件，能夠創(chuàng)建注冊表項(xiàng)，并使用 reg.exe 命令行工具將 base64 編碼的 Powershell 命令添加到注冊表項(xiàng)中，從而實(shí)現(xiàn) Qakbot DLL 的下載和執(zhí)行。

以PDF 作為初始攻擊向量的攻擊鏈（Zscaler）

而對HTML的利用，則是以HTML走私（HTML smuggling）的形式傳遞其初始攻擊負(fù)載。在研究人員發(fā)現(xiàn)的幾封釣魚郵件中，Qakbot正利用拉丁語主題的 HTML 文件來促進(jìn)ZIP文檔的下載。這些檔案同樣包含混淆的 JS 文件，并啟動類似于PDF文件的感染序列，最終實(shí)現(xiàn)Qakbot 有效負(fù)載的傳遞。

在上述利用活動僅僅過去一個(gè)月之后，到了4月份，Qakbot開始使用WSF（Windows腳本文件）實(shí)施感染，其中包含一個(gè)十六進(jìn)制編碼的XMLHTTP請求來下載Qakbot有效負(fù)載，取代了之前的base64編碼的PowerShell命令。

先進(jìn)的防御規(guī)避策略

就在Qakbot濫用各類文件之際，研究人員也注意到它在防御規(guī)避策略上的不斷更新。除了攻擊鏈的變化之外，Qakbot 還引入了復(fù)雜的技術(shù)，包括使用 conhost.exe 和 DLL 側(cè)面加載的間接命令執(zhí)行，使其檢測和刪除進(jìn)一步復(fù)雜化。

Qakbot 通過 conhost.exe 使用間接命令執(zhí)行（Zscaler）

在此攻擊鏈中，Qakbot 利用 conhost.exe 作為代理二進(jìn)制文件，避開限制使用典型命令行解釋器的安全反制措施。這攻擊者能夠使用各種 Windows 實(shí)用程序執(zhí)行命令，從而巧妙地轉(zhuǎn)移視線，使安全工具更難有效識別和緩解威脅。

為了進(jìn)一步掩蓋其活動，Qakbot 還利用 conhost.exe，將其作為執(zhí)行特定命令的中介。這種策略是 Qakbot 在被入侵系統(tǒng)內(nèi)隱秘運(yùn)行的戰(zhàn)略的一部分，傳統(tǒng)安全機(jī)制可能主要側(cè)重于直接檢測惡意代碼的執(zhí)行，進(jìn)而對其進(jìn)行忽略。

此外，通過隱藏可執(zhí)行 (EXE) 文件的 ZIP 文件，在目標(biāo)點(diǎn)擊后加載一個(gè)隱藏的動態(tài)鏈接庫 (DLL)，該庫使用curl 命令下載最終的 Qakbot 有效負(fù)載。通過合并 DLL 側(cè)加載，能允許Qakbo間接執(zhí)行代碼并逃避傳統(tǒng)的檢測機(jī)制，從而為攻擊增加了一層額外的復(fù)雜性。

可見，Qakbot具有較強(qiáng)的靈活性與復(fù)雜性，在其攻擊鏈中采用了多種文件格式何難以捉摸的混淆方法，使其能夠逃避傳統(tǒng)防病毒軟件的檢測，進(jìn)而更加有效地感染目標(biāo)設(shè)備。

Qakbot的隕滅

由于Qakbot持續(xù)多年的興風(fēng)作浪，尤其是今年上半年的活動激增，被執(zhí)法部門視為眼中釘只是遲早的事，但讓Qakbot可能沒想到的是，這一天來得有些措手不及。

8月29日，“獵鴨行動”的領(lǐng)導(dǎo)者——美國FBI正式宣布了針對Qakbot的聯(lián)合執(zhí)法行動的勝利，稱這是美國主導(dǎo)的有史以來最大規(guī)模的針對僵尸網(wǎng)絡(luò)的執(zhí)法行動之一。隨著相關(guān)行動細(xì)節(jié)的公開，讓我們能夠詳細(xì)再現(xiàn)這一龐大僵尸網(wǎng)絡(luò)的覆滅過程。

來自FBI的滲透行動

據(jù)美國司法部發(fā)布的扣押令申請，F(xiàn)BI從8月25日開始獲得了對 Qakbot 僵尸網(wǎng)絡(luò)的訪問權(quán)限。根據(jù)調(diào)查，F(xiàn)BI利用了三個(gè)層級的命令和控制服務(wù)器（C2），這些服務(wù)器用于發(fā)出命令來執(zhí)行、安裝惡意軟件更新以及將其他合作惡意軟件有效負(fù)載下載到目標(biāo)設(shè)備。

FBI表示，第一級服務(wù)器為安裝了“超級節(jié)點(diǎn)”模塊的受感染設(shè)備，該模塊充當(dāng)僵尸網(wǎng)絡(luò)C2基礎(chǔ)設(shè)施的一部分，其中一些位于美國。第二級服務(wù)器同樣也是C2，但大多是美國境外租用的服務(wù)器。而第一級和第二級服務(wù)器均用于中繼與第三級服務(wù)器的加密通信，第三級為中央命令和控制服務(wù)器，用于發(fā)布需要執(zhí)行的新命令、需要下載的新惡意軟件模塊以及安裝來自其他合作伙伴的惡意軟件。

FBI在滲透到Qakbot 的基礎(chǔ)設(shè)施和管理員設(shè)備后，訪問了用于與這些服務(wù)器通信的加密密鑰。利用這些密鑰，F(xiàn)BI 使用受其控制的受感染設(shè)備來聯(lián)系每臺第一級服務(wù)器，并用執(zhí)法部門創(chuàng)建的模塊替換已安裝的 Qakbot“超級節(jié)點(diǎn)”模塊，該模塊使用了 Qakbot 管理及操作者所不知的加密密鑰，有效地將他們鎖定在自己的C2基礎(chǔ)設(shè)施之外，使其不再有任何方式與第一級服務(wù)器進(jìn)行通信。

終結(jié)Qakbot進(jìn)程

在隔絕C2間的通信之后，F(xiàn)BI利用一個(gè)自定義 Windows DLL充當(dāng)卸載工具，并從現(xiàn)已被劫持的第一級服務(wù)器推送到受感染的設(shè)備。根據(jù) SecureWorks對 FBI 模塊的分析，此自定義 DLL 文件向受感染設(shè)備上運(yùn)行的 Qakbot發(fā)出命令，讓該惡意軟件進(jìn)程停止運(yùn)行。當(dāng)惡意軟件被注入到另一個(gè)進(jìn)程的內(nèi)存中時(shí)，刪除工具不需要向硬盤驅(qū)動器讀取或?qū)懭肴魏蝺?nèi)容來關(guān)閉該進(jìn)程。

FBI 的卸載程序發(fā)送 QPCMD_BOT_SHUTDOWN 命令

從SecureWorks于美國東部時(shí)間 8 月 25 日晚上7點(diǎn)27分首次監(jiān)測到FBI的Qakbot卸載工具推送到了受感染設(shè)備，到8月29日FBI宣布聯(lián)合執(zhí)法行動的勝利，短短3天時(shí)間內(nèi)，F(xiàn)BI識別出全球超過70萬臺受感染設(shè)備，其中20萬臺位于美國。

FBI 表示，該 Qakbot 刪除工具已獲得法官授權(quán)，其范圍非常有限，只能從受感染的設(shè)備中刪除惡意軟件。

聯(lián)合執(zhí)法行動還扣押了860 萬美元的勒索資金，并將其返還給因 Qakbot 犯罪行為而受害的許多實(shí)體。可根據(jù)歐洲刑警組織在行動后披露的數(shù)據(jù)，執(zhí)法部門在歐洲、南美洲、北美洲、亞洲和非洲的近 30 個(gè)國家檢測到感染 Qakbot 的服務(wù)器，在2021 年 10 月至 2023 年 4 月期間收獲的贖金高達(dá)5400萬歐元（約5800萬美元），被成功扣押的資金僅僅是這個(gè)龐大僵尸網(wǎng)絡(luò)贖金收益的冰山一角。

后記

雖然美國方面高調(diào)宣揚(yáng)了“獵鴨行動”取得的全面勝利，但Qakbot是否真的被斬草除根了？答案似乎不完全肯定，畢竟REvil、Emotet等勒索軟件都曾在遭受打擊后死灰復(fù)燃。

在BleepingComputer發(fā)表的一篇文章中，指出到目前為止，該行動沒有逮捕任何犯罪人員，因此可能會出現(xiàn)Qakbot的運(yùn)營人員在未來幾個(gè)月內(nèi)通過網(wǎng)絡(luò)釣魚活動或其他僵尸網(wǎng)絡(luò)來重建基礎(chǔ)設(shè)施。

由于全球網(wǎng)絡(luò)的開放性、靈活性和匿名性等特性，針對網(wǎng)絡(luò)犯罪組織的打擊至始至終是一場沒有邊界的持久戰(zhàn)，國際社會必須時(shí)刻保持警惕，在加強(qiáng)國際間合作的同時(shí)，不斷創(chuàng)新手段和技術(shù)，完善網(wǎng)絡(luò)安全防御和偵查體系，進(jìn)而更加有效地識別和打擊網(wǎng)絡(luò)犯罪活動，維護(hù)全球網(wǎng)絡(luò)空間安全。