概括
网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 正在发布此联合网络安全咨询 (CSA),以传播截至 2023 年 8 月通过 FBI 调查确定的 QakBot 基础设施受损指标 (IOC)。 8 月 25 日,FBI和国际合作伙伴执行了协调行动,以破坏全球 QakBot 基础设施。针对 QakBot 基础设施的中断操作导致僵尸网络接管,从而切断了受害者计算机与 QakBot 命令和控制 (C2) 服务器之间的连接。FBI 正在与行业合作伙伴密切合作,共享有关恶意软件的信息,以便最大限度地为网络防御者提供检测、补救和预防措施。
CISA 和 FBI 鼓励组织实施缓解部分中的建议,以减少 QakBot 相关活动的可能性,并促进识别 QakBot 促成的勒索软件和恶意软件感染。注意: QakBot 基础设施的中断不会减轻受害者计算机上之前安装的其他恶意软件或勒索软件的影响。如果检测到潜在的危害,管理员应应用本 CSA 中包含的事件响应建议,并向当地 FBI 现场办公室或 CISA 报告关键发现(网址为cisa.gov/report)。
技术细节
概述
QakBot(也称为 Qbot、Quackbot、Pinkslipbot 和 TA570)在全球范围内造成了数以千计的恶意软件感染。QakBot 是大量计算机入侵的先兆,其中包括勒索软件和金融部门用户帐户的泄露。QakBot 至少自 2008 年以来就存在,融入了全球网络犯罪供应链,并与犯罪生态系统有着根深蒂固的联系。QakBot 最初被用作银行木马,用于窃取银行凭证以进行账户泄露;在大多数情况下,它是通过网络钓鱼活动传递的,其中包含恶意附件或下载恶意软件的链接,一旦到达受害者网络,这些附件或链接就会驻留在内存中。
自最初作为银行木马出现以来,QakBot 已发展成为一种多用途僵尸网络和恶意软件变体,为威胁行为者提供广泛的功能,包括执行侦察、进行横向移动、收集和窃取数据以及提供其他功能。受影响设备上的恶意负载,包括勒索软件。由于其模块化特性,QakBot 在数字环境中保持了持久性。通过受损凭证访问受 QakBot 影响(受害者)的设备通常会被出售,以进一步实现交付 QakBot 的威胁行为者的目标。
QakBot 及其附属变种针对的是美国和其他全球基础设施,包括金融服务、紧急服务、商业设施部门以及选举基础设施子部门。FBI 和 CISA 鼓励组织实施本 CSA 缓解措施部分中的建议,以降低 QakBot 相关感染的可能性,并促进识别 QakBot 引发的勒索软件和恶意软件感染。QakBot 僵尸网络的破坏不会减轻受害者计算机上之前安装的其他恶意软件或勒索软件的影响。如果检测到潜在的危害,管理员应应用本 CSA 中包含的事件响应建议,并向 CISA 和 FBI 报告主要发现。
QakBot 基础设施
QakBot 的模块化结构允许各种恶意功能,包括进程和 Web 注入、受害者网络枚举和凭证窃取,以及后续有效负载的传递,例如 Cobalt Strike、Brute Ratel 和其他恶意软件。众所周知,QakBot 感染先于人为操作的勒索软件部署,包括 Conti、ProLock、Egregor、REvil、MegaCortex、Black Basta、Royal和 PwndLocker。
从历史上看,QakBot 的 C2 基础设施严重依赖于使用托管提供商来实现自己的基础设施和恶意活动。这些提供商将服务器出租给恶意威胁行为者,忽视滥用投诉,并且不与执法部门合作。在任何给定时间,数千台运行 Microsoft Windows 的受害计算机都会感染 QakBot — 该僵尸网络通过三层 C2 服务器进行控制。
图 1 QakBot 的分层 C2 服务器
第一层 C2 服务器包括由 QakBot 管理员选择的数千个机器人的子集,这些机器人通过下载额外的软件模块晋升为第 1 层“超级节点”。这些超级节点与受害计算机进行通信,以在上游 C2 服务器和受感染计算机之间中继命令和通信。截至 2023 年 6 月中旬,已在 63 个国家/地区确定了 853 个超级节点,并在当月活跃。人们观察到超级节点经常发生变化,这有助于 QakBot 逃避网络防御者的检测。据观察,每个机器人都与一组 1 级超级节点通信,以将通信中继到 2 级 C2 服务器,充当隐藏主 C2 服务器的代理。第 3 层服务器控制所有机器人。
妥协指标
FBI 观察到以下与 OakBot 感染相关的威胁行为者策略、技术和程序 (TTP):
1、QakBot 根据需要通过注册表运行密钥设置持久性。它会在运行时删除该键,并在计算机重新启动之前将其重新设置:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
2、QakBot 还将其二进制文件写回磁盘以保持以下文件夹中的持久性:
C:Users\AppDataRoamingMicrosoft\
3、QakBot 会将有关机器人的详细信息的加密注册表配置写入以下注册表项:
HKEY_CURRENT_USERSoftwareMicrosoft
此外,以下 IP 地址经评估已获得对受害计算机的访问权限。我们鼓励组织检查与这些 IP 地址的任何连接,这可能表明存在 QakBot 和/或后续恶意软件感染。
免责声明:截至 2023 年 8 月 29 日,以下 IP 地址被评估为不活跃。其中一些观察到的 IP 地址早在 2020 年就首次观察到,但大多数是在 2022 年或 2023 年开始观察的,并且历史上一直与 QakBot 相关联。FBI 和 CISA 建议组织在采取阻止等行动之前对这些 IP 地址进行调查或审查。
表 1 与 QakBot 感染相关的 IP
还鼓励各组织查看美国卫生与公众服务部网络安全计划的Qbot/QakBot 恶意软件演示,以获取更多信息。
斜接攻击技术
有关详细的相关软件描述、使用的策略以及使用该软件观察到的群体,请参阅 QakBot 上的 MITRE ATT&CK 页面。
缓解措施
注意:对于态势感知,以下 SHA-256 哈希值与 FBI 的 QakBot 卸载程序相关联:
7cdee5a583eacf24b1f142413aabb4e556ccf4ef3a4764ad084c1526cc90e117
CISA 和 FBI 建议网络防御者应用以下缓解措施,以减少 QakBot 相关活动的可能性,并促进识别 QakBot 引发的勒索软件和恶意软件感染。QakBot 僵尸网络的破坏不会减轻受害者计算机上已安装的其他恶意软件或勒索软件的影响。注意:这些缓解措施符合 CISA 和美国国家标准与技术研究所 (NIST) 制定的跨部门网络安全绩效目标 (CPG)。CPG 提供了 CISA 和 NIST 建议所有组织实施的一套最低限度的实践和保护。CISA 和 NIST 基于现有网络安全框架和指南制定 CPG,以防范最常见和最具影响力的威胁和 TTP。访问 CISA跨部门网络安全绩效目标,了解有关 CPG 的更多信息,包括其他建议的基线保护。
最佳实践缓解建议
恢复。将副本离线存储在物理安全位置并定期测试 、实施恢复计划,以在物理上独立、分段且安全的位置(即硬盘驱动器、存储设备、云)维护和保留敏感或专有数据和服务器的多个副本.
2、在开发和管理密码策略时,要求所有使用密码登录的帐户(例如,服务帐户、管理员帐户和域管理员帐户)遵守NIST 的标准。这包括:
3、使用防网络钓鱼多重身份验证 (MFA)(例如安全令牌)进行远程访问和访问任何敏感数据存储库。针对访问关键系统的帐户和管理备份的特权帐户,为尽可能多的服务(尤其是网络邮件和 VPN)实施防网络钓鱼 MFA。 MFA 还应该用于远程登录。有关安全 MFA 配置的更多指南,请访问cisa.gov/MFA和 CISA 的实施防网络钓鱼 MFA情况说明书。
4、使所有操作系统、软件和固件保持最新。及时修补是组织可以采取的最有效和最具成本效益的步骤之一,以最大限度地减少网络安全威胁的暴露。优先修补面向互联网的系统的已知被利用漏洞。CISA 免费提供一系列服务,包括扫描和测试,以帮助组织通过减轻攻击媒介来减少威胁的暴露。具体来说,网络卫生服务可以帮助为组织的互联网可访问资产提供第二双眼睛。各组织可以发送电子邮件至vulnerability@cisa.dhs.gov,主题为“请求网络卫生服务”即可开始使用。
5、分段网络以防止勒索软件的传播。网络分段可以通过控制各个子网之间的流量和对各个子网的访问来限制对手的横向移动,从而帮助防止勒索软件的传播。
6、使用网络监控工具识别、检测和调查指示恶意软件的异常活动和潜在遍历。为了帮助检测恶意软件,请实施一个工具来记录和报告所有网络流量,包括网络上的横向移动活动。端点检测和响应 (EDR) 工具对于检测横向连接特别有用,因为它们可以深入了解每个主机的常见和不常见网络连接。
7、在所有主机上安装、定期更新并启用防病毒软件实时检测。
8、检查域控制器、服务器、工作站和活动目录中是否有新的和/或无法识别的帐户。
9、审核具有管理权限的用户帐户,并根据最小权限原则配置访问控制。
10、禁用未使用的 端口。
11、考虑将电子邮件横幅添加到从组织外部收到的电子邮件中。
12、禁用收到的电子邮件中的超链接。
13、对管理员级别及更高级别的帐户实施基于时间的访问。例如,即时访问方法在需要时提供特权访问,并且可以支持执行最小特权原则(以及零信任模型)。在此过程中,设置网络范围的策略,以便在不直接需要帐户时自动在 Active Directory 级别禁用管理员帐户。个人用户可以通过自动化流程提交他们的请求,当他们需要支持完成特定任务时,该流程会授予他们在设定的时间范围内访问指定系统的权限。
14、禁用命令行和脚本活动和权限。权限升级和横向移动通常取决于从命令行运行的软件实用程序。如果威胁行为者无法运行这些工具,他们将难以升级权限和/或横向移动。
15、定期执行安全系统备份并创建所有设备配置的已知良好副本以进行维修。
16、确保所有备份数据均经过加密、不可变(即无法更改或删除),并涵盖整个组织的数据基础设施。
勒索软件指南
1、CISA.gov/stopransomware是一种整体政府资源,充当勒索软件资源和警报的中心位置。
2、CISA、FBI、国家安全局 (NSA) 和多州信息共享与分析中心 (MS-ISAC) 发布了 #StopRansomware 指南的更新版本,自 2019 年首次发布以来,勒索软件攻击者加快了他们的策略和技术。
3、CISA 在其网络安全评估工具 (CSET) 中发布了一个新模块,即勒索软件准备评估 (RRA)。CSET 是一款桌面软件工具,可指导网络防御者逐步评估其网络上的网络安全实践。
验证安全控制
除了应用缓解措施之外,CISA 和 FBI 建议针对本通报中映射到MITRE ATT&CK for Enterprise框架的威胁行为来演练、测试和验证组织的安全计划。CISA 和 FBI 还建议测试您现有的安全控制清单,以评估它们针对本通报中描述的 ATT&CK 技术的性能。
开始:
1、选择本通报中描述的 ATT&CK 技术(请参阅 QakBot 上的 MITRE ATT&CK 页面)。
2、使您的安全技术与技术保持一致。
3、根据技术测试您的技术。
4、分析您的检测和预防技术性能。
5、对所有安全技术重复这个过程,得到一组综合性能数据。
6、根据此流程生成的数据调整您的安全计划,包括人员、流程和技术。
CISA 和 FBI 建议在生产环境中持续大规模测试您的安全程序,以确保针对 MITRE ATT&CK 技术的最佳性能。
转载来源:https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-242a
图片来源网络侵权可联系删除
