依托电子邮件传播的银行木马QakBot

来源：GDCA数安时代 发布时间：2021-09-30浏览：1482次

近年来，QakBot已成为全球流行的银行木马之一。它的主要目的是窃取银行凭证（如登录名、密码等）。时至今日，QakBot仍在不断更新和发展，不断增加新的功能并更新其模块，以窃取信息并使收入最大化。
QakBot恶意软件入侵后，会监视金融业务、自我传播和安装勒索软件等，以便从受感染的企业机构中获得最大收益。并且，我国是该木马的主要攻击国，主要针对政府、金融、企业、医疗等关键行业。

QakBot传播方式
QakBot主要通过垃圾邮件传播和感染受害者的，其电子邮件附件包含Microsoft Office文档（Word、Excel）或带有密码保护的压缩文件。包含宏的文档会提示受害者打开附件，在某些情况下，电子邮件中包含指向传播恶意文档的网页的链接。它还可以通过已感染机器将QakBot有效负载传播到受害者的机器。
QakBot或劫持可信方邮件获取信息、植入恶意程序，让邮件不仅隐蔽性强还可绕过检测顺利抵达目标。

最近QakBot版本（2020-2021变体）的感染链如下：
1、用户收到一封带有ZIP附件的钓鱼电子邮件，其中包含一份带有嵌入宏的Office文档或恶意链接。
2、用户打开恶意附件/链接，并被诱导单击“启用内容”。
3、执行恶意宏。一些变体通过“GET”请求“PNG”，但该文件实际上是一个二进制文件。
4、加载的有效负载（stager）包括加密资源模块。其中一个加密资源具有DLL二进制文件（加载器），该文件在运行时解密。
5、“Stager”将“Loader”加载到内存中，内存在运行时解密并运行有效负载。
6、有效负载与C2服务器通信。

典型的QakBot具有如下功能：收集主机信息；创建计划任务；证书获取；凭证转储；密码窃取；网络注入；密码暴力破解；修改注册表；创建副本；注入进程；收集电子邮件数据等。

值得注意的是，近期QakBot发送给目标组织的网络钓鱼电子邮件以 COVID-19 诱饵，纳税提醒和工作招聘的形式出现，不仅包含恶意内容，而且还插入了双方之间的存档电子邮件线程以提供信誉的空气。Qakbot可以感染网络共享文件夹和驱动器，包括可移动的 U 盘。如果用户系统受到感染，建议断开与互联网连接以防止与服务器通信。

除QakBot银行木马外，还有Ursnif 银行木马、Emotet 银行木马、Gozi 银行木马等。俗话说，防御的前提是了解威胁，同时必须提前做好预防策略。

使用电子邮件证书
与SSL证书一样，电子邮件证书可以对电子邮件进行加密传输，防止电子邮件内容被他人窃取，防止信息泄露。目前，使用电子邮件证书是保护电子邮件安全最有效的解决方法之一。
使用电子邮件证书可以对电子邮件进行数字签名并传输加密，对于企业来说，可以为用户和员工提供身份验证，保护公司发送的重要文档，通过身份验证确保有权访问在线服务器的人员。
使用电子邮件证书对电子邮件进行数字签名并加密传输，可以有效防止上述情况的出现，电子邮件安全隐患，有效帮助企业减少损失，确保电子邮件的安全。