Wireshark Tutorial: 分析Qakbot原理

原文地址：https://unit42.paloaltonetworks.com/tutorial-qakbot-infection/

Overview

Qakbot也称为Qbot，是一种进行信息窃取的恶意程序。Qakbot家族的恶意软件已经活跃很多年了，并且他们有着特别的流量模式。这次的Wireshark教程回顾了近期从Qakbot感染中捕获的数据包。了解这些流量模式对于安全人员进行检测和调查Qakbot感染是十分重要的。

这里我们对Wireshark的显示列表进行了一定的调整，具体可参见：

定制个性化的Wireshark—改变显示列表：

定制个性化的Wireshark—改变显示列表 · 语雀

Using Wireshark - 显示筛选表达式：

Using Wireshark - 显示筛选表达式 · 语雀

❗请注意：我们应该在Linux虚拟机中进行本次实验。

本次教程主要包括：

Qakbot distribution methods — Qakbot传播原理
Initial zip archive from link in an malspam — 垃圾邮件中的初始zip链接
Windows executable for Qakbot — Qakbot的Windows可执行文件
Post-infection HTTPS activity — Qakbot的Windows可执行文件
Other post-infection traffic — 感染后的其他类型流量

本次教程的PCAP文件下载地址

image

<figcaption>图 1. 本次教程的PACA文件</figcaption>

Qakbot Distribution Methods

一般情况下，Qakbot通过恶意垃圾邮件进行传播，但是最近在2019年11月我们也注意到了通过exploit kit进行传播的案例。如从2019年3月所报道的案例，在一些情况下Qakbot是由像Emotet等恶意软件引起的后续感染。

amber：一文搞懂Exploit、Exploit Kit和Malware的区别

最近Qakbot基于恶意邮件的传播感染链如图2所示。

image

<figcaption>图 2. Qakbot传播感染链</figcaption>

Initial Zip Archive from Link in Malspam

近期通过恶意垃圾邮件传播的Qakbot使用模仿合法邮件地址的虚假邮件链接，如图3所示。

image

<figcaption>图 3. 通过恶意垃圾邮件传播的Qakbot</figcaption>

这些电子邮件的URL以一连串短数字加上.zip 结尾。下表展示了URLhaus和Twitter报道的基于垃圾邮件传播的Qakbot中的URLs：

2019-12-27hxxps://prajoon.000webhostapp[.]com/wp-content/uploads/2019/12/last/033/033.zip
2019-12-27hxxps://psi-uae[.]com/wp-content/uploads/2019/12/last/870853.zip
2019-12-27hxxps://re365[.]com/wp-content/uploads/2019/12/last/85944289/85944289.zip
2019-12-27hxxps://liputanforex.web[.]id/wp-content/uploads/2019/12/last/794/794.zip
2020-01-06hxxp://http://eps.icothanglong.edu[.]vn/forward/13078.zip
2020-01-22hxxp://hitechrobo[.]com/wp-content/uploads/2020/01/ahead/84296848/84296848.zip
2020-01-22hxxp://http://faithoasis.000webhostapp.com/wp-content/uploads/2020/01/ahead/550889.zip
2020-01-27hxxps://madisonclubbar[.]com/fast/invoice049740.zip
2020-01-29hxxp://zhinengbao[.]wang/wp-content/uploads/2020/01/lane/00571.zip
2020-01-29hxxp://bhatner[.]com/wp-content/uploads/2020/01/ahead/9312.zip
2020-02-03hxxp://santedeplus[.]info/wp-content/uploads/2020/02/ending/1582820/1582820.zip

如图4所示，在我们的数据包中，你可以设置Wireshark的过滤选项为 http.request.uri contains .zip 来观察初始zip归档文件的HTTP请求。

image

<figcaption>图4. 查找初始zip归档文件的URL</figcaption>

如图5和图6所示，追踪TCP流以确定这是一个zip文件，然后如图7所示，尝试从pcap中导出zip文件。

image

<figcaption>图 5. 追踪TCP流</figcaption>

image

<figcaption>图 6. 确认zip文件</figcaption>

image

<figcaption>图 7. 导出文件对象</figcaption>

在大部分情况下，通过 File → Export Objects → HTTP 就可以导出我们想要的zip文件。不幸地是，如图8所示，我们不能简单地导出该名为 9312.zip 的文件，因为它在HTTP导出对象列表中被分成了数百个更小的部分。

image

<figcaption>图 8. 9312.zip 在HTTP导出对象列表中的显示</figcaption>

幸运的是，我们可以从TCP流中导出数据并通过十六进制编辑器修改二进制文件去除任何http响应头。使用以下步骤从这个pcap中导出文件:

追踪 9312.zip 的TCP流或HTTP流
在TCP流窗口中只显示响应流量
更改“Show and save data as”选项，ASCII改为Raw
将数据保存为二进制文件（如9312.zip.bin）
在十六进制编辑器中打开二进制文件，并删除zip归档文件的前两个字节以去除HTTP请求头(以ASCII格式显示为PK)
将文件保存为zip文件（如9312.zip）
检查该文件，以确保它是zip文件

图9-14展示了这一个过程。

image

<figcaption>图 9. Step 2 – 在TCP流窗口中只显示响应流量</figcaption>

image

<figcaption>图 10. Step 3 – 更改“Show and save data as”选项，ASCII改为Raw</figcaption>

image

<figcaption>图 11. Step 4 – 将数据保存为二进制文件（如9312.zip.bin）</figcaption>

image

<figcaption>图 12. Step 5 – 在十六进制编辑器中打开二进制文件，并删除zip文件之前的字节以去除HTTP请求头(以ASCII格式显示为PK)</figcaption>

image

<figcaption>图 13. Step 6 – 将文件保存为zip文件（如9312.zip）</figcaption>

image

<figcaption>图 14. Step 7 – 检查该文件，以确保它是zip文件</figcaption>

我们可以通过公共沙箱对提取的VBS文件进行分析，分析结果显示它生成了下一个与Qakbot感染相关的URL：一个为Qakbot返回Windows可执行文件的URL。

Windows Executable for Qakbot

这些提取的VBS文件生成了返回Windows可执行文件的URL。自从2019年12月，与Qakbot可执行文件相关的URL都以 44444.png 或 444444.png 结尾。下表是作者使用他们公司的威胁情报工具——AutoFocus发现的与Qakbot相关的URL：

在我们的PCAP中，可以通过设置过滤选项为 http.request.uri contains .png 去寻找Qakbot可执行文件的HTTP GET请求，如图15所示。

image

<figcaption>图 15. Qakbot可执行文件的URL</figcaption>

导出并检查相关文件，如图16-17所示。

image

<figcaption>图 16. 导出Qakbot可执行文件</figcaption>

image

<figcaption>Figure 17. 检查Qakbot可执行文件</figcaption>

Post-infection HTTPS Activity

使用basic过滤选项可以帮助你快速浏览pcap中的web浏览。向下滚动到返回了Qakbot可执行文件的HTTP GET请求alphaenergyeng[.]com之后。你可以发现几个与68.1.115[.]106相关的HTTPS或SSL/TLS流量，但却没有显示域名，如图18所示。

image

<figcaption>图 18. HTTPS、SSL/TLS 流量</figcaption>

在Qakbot感染期间，它的通信流量具有不同寻常的证书颁发者数据。使用下面的Wireshark过滤选项我们可以检查Qakbot的证书发行机构数据：

Ip.addr eq 68.1.115.106 and ssl.handshake.type eq 11

image

<figcaption>图 19. Qakbot流量的证书颁发者数据</figcaption>

流量中的localityName、organizationName和commonName字段内容非常罕见，通常无法在合法的HTTPS、SSL或TLS流量中见到：

id-at-countryName=ES
id-at-stateOrProvinceName=IA
id-at-localityName=Uorh Ofwa
id-at-organizationName=Coejdut Mavmtko Qxyemk Dxsjie LLC.
id-at-commonName=gaevietovp.mobi

Other Post-infection Traffic

我们的pcap包含了其他与Qakbot感染相关的活动，每一个活动单独来看可能并不是恶意的，但结合之前的发现，我们可以观察到Qakbot感染的全貌。

Qakbot感染的另一个指标是到cdn.speedof[.]me的HTTPS流量。speedof[.]me是一个网联网速度测试服务的合法域名，但在Qakbot感染期间我们经常见到cdn.speedof[.]me的通信流量，如图20所示。

image

<figcaption>图 20. Qakbot感染中的cdn.speedof[.]me流量</figcaption>

Qakbot还可以在受感染的windows主机上打开所有浏览器的窗口。在该沙箱分析的大约13分5秒，Qakbot先是在Windows 7主机上打开Chrome，然后打开了Firefox，然后打开了Internet Explorer。分析结果同时表明Qakbot产生了前往下列URL的流量：

nvprivateoffice[.]com在2012年就通过GoDaddy注册了，并且store.nvprivateoffice[.]com显示了Fedora服务器上ngnix默认的web页面。

本教程的pcap文件来自Windows 10主机，并没有安装Chrome或Firefox，同样地，Qakbot产生的URL是hxxp://store.nvprivateoffice[.]com/redir_ie.html，我们可以设置如下的过滤条件：

http.request.full_uri contains store.nvprivateoffice

image

<figcaption>图 21. 查找受感染Windows主机上Qakbot打开web浏览器的流量。</figcaption>

追踪以redir_ie.html结尾的两个TCP流，如图22-23所示。

image

<figcaption>图 22. Internet Explorer 11</figcaption>

image

<figcaption>图 23. Chromium-based Microsoft Edge</figcaption>

最后，产生自受感染主机的pcap文件也包含了与邮件相关的TCP流量，如SMTP、IMAP和POP3。设置如下的过滤选项：

tcp.flags eq 0x0002 and !(tcp.port eq 80) and !(tcp.port eq 443)

image

<figcaption>图 25. Qakbot感染的非web流量</figcaption>

图25显示了到不同电子邮件协议常用的各种端口(如25、110,143、465、587、993和995)的TCP连接。结果的前两行显示了到TCP端口65400的流量，但是查看相关的TCP流表明这也是与电子邮件相关的流量。

使用以下Wireshark过滤器可以更好地了解来自受感染主机的电子邮件相关流量，如图26所示:

smtp or imap or pop

image

<figcaption>图 26. Qakbot的邮件相关流量</figcaption>

我们可以追踪一些TCP流来更好地了解这种类型的电子邮件流量。我们通常不会看到从Windows客户端到公共IP地址的未加密的电子邮件流量。与其他指标一起，这个smtp或imap或pop过滤器可能会显示Qakbot活动。

Conclusion

本教程主要讲述了检查Windows主机是否感染了Qakbot恶意软件的技巧。