ThreatLabzの追跡：15年にわたり進化を続けるQakbot

はじめに

Qakbot (別名QBotまたはPinkslipbot)はマルウェアのトロイの木馬で、最も長く活動を続けているサイバー犯罪組織の一つに使用されてきました。Qakbotは、バンキング型トロイの木馬からマルウェア インプラントへと進化し、ラテラル ムーブメントや最終的なランサムウェアの展開に利用されてきました。Qakbotのインフラは2023年8月に法執行機関によって解体されましたが、そのわずか数か月後の2023年12月、Qakbotの5番目(最新)のバージョンがリリースされ、開発期間は実に15年を超えました。このブログでは、2008年までさかのぼるQakbotの最初のバージョンから、2024年1月時点も更新が続いている最新バージョンまでを分析します。今回の分析からも、Qakbotの背後にいる脅威アクターは回復力と永続性に優れ、革新的であることがわかっています。

要点

• Qakbotは2008年、認証情報を盗んでACH詐欺、電信送金詐欺、クレジット カード詐欺を行うように設計されたバンキング型トロイの木馬として生まれました。
• 近年では、ラテラル ムーブメントを目的とするCobalt Strikeを配信するイニシャル アクセス ブローカーとなり、最終的にBlackBastaのようなランサムウェアを含む第2段階の感染をもたらしました。
• Qakbotの分析回避技術は長年にわたり、マルウェアのサンドボックスやウイルス対策ソフトウェアなどのセキュリティ製品を回避するように改善されてきました。
• このマルウェアはモジュール化した構造となっており、プラグインをダウンロードして新しい機能を動的に追加することもできます。
• Qakbotの背後にいる脅威グループは、2023年12月の最新のリリースで5種類のマルウェアをリリースしました。

Qakbotの歴史

ThreatLabzの研究者は10年以上にわたってQakbotを追跡しており、サンプルの分析を開始したのは2008年までさかのぼります。初期バージョンのQakbotには、バージョン番号ではなく日付のタイムスタンプが含まれていましたが、後続のバージョンとの違いを明確にするために、ここではこれらのサンプルをバージョン1.0.0と呼ぶことにします。Qakbotはその当時、リソース セクションに2つのコンポーネントが埋め込まれたドロッパーを活用していました。具体的には、悪意のあるDLLおよび実行中のプロセスにDLLを注入するツールからなるコンポーネントです。QakbotのDLLは、SOCKS5サーバー、パスワードの窃取、WebブラウザーのCookieの収集、SMBを介した拡散などさまざまな機能を実装していました。これらの初期バージョンは高度に開発され、クラッシュ ダンプを報告する機能までありました。2011年には、2.0.0から始まるバージョン管理システムを導入しましたが、これは徐々に大きな開発のマイルストーンを示すものとなりました。Qakbotの主要なバージョン番号は、3桁の16進数値で表され、0x500 (または5.0.0)が最新のバージョンとなっています。

Qakbotは2019年まで主に銀行詐欺に使用されていました。その後脅威アクターは、Qakbotの役割をContiやProLock、Egregor、REvil、MegaCortex、BlackBastaなどのランサムウェアのイニシャル アクセス ブローカーに転換しました。

以下の年表は、Qakbotの各バージョンの主な開発内容を示しています。

Qakbotのバージョンはそれぞれ、ある時点の概要を反映し、その期間中の脅威の状況を示しています。たとえば、初期バージョンには、ハードコードされたコマンド＆コントロール(C2)サーバーが含まれていました。時間が経つにつれ、法執行機関とマルウェアの研究者は、ドメイン登録機関と協力して悪意のあるドメインを一時停止することに成功しました。これに対応して、Qakbotの脅威アクターはネットワーク暗号化を追加し、ドメイン生成アルゴリズム(DGA)を追加することでC2サーバーの単一障害点を削除するソリューションを実装しました。DGAは単一障害点の問題に対処する一方で、多数のドメインに対してクエリーを実行するときに大きなノイズも発生させたため、Qakbotの開発者は、多層的な新しいアーキテクチャーを考案しました。これは、侵害されたシステムを利用し、他の感染したシステムとバックエンドのC2インフラとの間のネットワーク トラフィックを中継するプロキシ サーバーとして機能するものでした。この設計更新により、単一障害点の問題が解消され、ネットワーク トラフィックを削減して、後続のC2階層を効果的に隠すことができました。

以降のセクションでは、Qakbotが大幅に進化した主な領域(分析回避技術、ネットワーク通信、モジュール設計の実装など)を分析します。

分析回避技術

Qakbotは、文字列とAPIの難読化、マルウェアのサンドボックス回避など、開発の初期段階から分析回避技術を実装しています。

文字列の難読化

Qakbotは最初のバージョン以降いずれも、単純なXORアルゴリズムでマルウェアの重要な文字列を難読化してきました。XORキー(直近ではXORキーの派生キー)は、文字列の復号に使用されています。さらに、文字列への参照構造もバージョン間で進化しています。

このマルウェアは、最初の2つのバージョン(1.0と2.0)では、データ セクションからの文字列ブロックを復号し、元の暗号化ブロックを上書きしており、暗号化されていない文字列はメモリーに残されました(図1を参照)。この単純な設計は、静的なウイルス対策シグネチャーを回避する試みであったと考えられます。

図1. Qakbotの初期バージョンでの文字列の難読化

Qakbotの後続のバージョンでは、XORキーが大幅に長くなり、文字列は復号されて新しく割り当てられたバッファーにコピーされました。バージョン5.0は、文字列暗号化アルゴリズムに最も重要な変更を加えたと推察されます。ここでも単純なXORキーが文字列を暗号化していますが、XORキーはデータ セクションにハードコードされなくなりました。代わりに、XORキーはAESで暗号化されます。この場合、AESキーはバッファーのSHA256ハッシュを実行することによって導出されます。2番目のバッファーには最初の16バイトとしてAES初期化ベクトル(IV)が含まれ、その後にAESで暗号化されたXORキーが続きます。XORキーが復号されると、暗号化された文字列のブロックを復号できます(図2を参照)。

図2. Qakbot 5.0での文字列の復号

APIの難読化

Qakbotのバージョン1と2では、暗号化された文字列テーブルにマルウェアが使用したWindows API名のリストが含まれていました。文字列テーブルが復号された後、コードは実行時に各APIのアドレスを動的に解決し、ポインターのテーブルを初期化し、必要に応じてQakbotが対応する関数を呼び出すために使用されました。この実装により、マルウェア研究者やウイルス対策ソフトウェアが、実行時に使用されるAPIを静的に判断することが難しくなりました。

より新しいバージョンでは、Qakbotの開発者は文字列ではなくCRC32ハッシュを使用し、インポートを解決することで、APIの使用をさらに難読化しました。当初、QakbotはAPI名のCRCハッシュを直接使用し、後続のバージョンではハードコードされた値とCRCハッシュを使用してXORを実行しました。図3は、この動的なAPIインポート ハッシュ アルゴリズムの例を示しています。

図3. Qakbot APIの難読化の例

ジャンク コード

Qakbotは、静的なウイルス対策シグネチャーを無効にするために、意図的に機能しないコード ブロックを徐々に導入するようになってきました(図4を参照)。以下の例では、RC4初期化ルーチンの前にジャンク コードのブロックが追加されています。

図4. RC4初期化関数に含まれるQakbotのジャンク コード ブロックの例

サンドボックス回避技術

Qakbotは、初期バージョンから研究者の環境とマルウェアのサンドボックスを特定するために多数の検出メカニズムを実装してきました。特に、分析環境に関連付けられたプロセス、システム アーティファクト、および基盤となる仮想マシンを特定しようとしてきました。図5は、2009年9月のサンプルで、感染したシステムがVMWare仮想マシンで実行されているかどうかを特定するためのQakbotの実装例です。

図5. VMWareを特定するためのQakbotの実装

Qakbotは、BIOSベンダー、プロセス、ドライバーといった文字列名などのシステム情報をチェックすることで、分析環境を特定するコードを継続的に追加しています(表1を参照)。

ネットワーク通信

Qakbotは当初からC2通信にHTTPを利用してきました。しかし、HTTPの上のネットワーク プロトコルは、暗号化、RSAシグネチャー検証、JSONベースのメッセージ形式の追加など、この数年の間に大幅に変化してきました。

ネットワーク プロトコルと暗号化

Qakbotのメッセージ プロトコルは継続的に更新されており、バージョン19が最新です。このプロトコルは、メッセージの形式を指定しています。バージョン3では、以下のような形式でリクエストを送信していました。

protoversion=9&r=1&n=kvtjmq970452&os=6.1.1.7601.1.0.0100&bg=b&it=3&qv=0300.288&ec=1453922906&av=0&salt=qrTMyfvpr

ただし、このプロトコル形式はその後、以下に示すように、特定のフィールドを示す整数キー値を持つJSONベースのプロトコルに置き換えられました。

{
   "8":1,
   "5":1035,
   "1":19, // protocol version
   "59":0,
   "3":"obama259",
   "4":1028,
   "10":1683022694,
   "2":"kqsvfc505763",
   "6":59661,
   "14":"Xgd1KxZQKTHGB6IxwtIy2e0RAq4iFNE6w6",
   "7":16759,
   "101":1,
   "26":"WORKGROUP",
   "73":0
}

このエンコーディングは、各メッセージ フィールドに対して難読化のレイヤーを追加します。

Qakbotのネットワーク暗号化はRC4を使用しており、キーはハードコードされたソルトと連結された16バイトのランダムなバイトで構成され、SHA1を使用してハッシュ化されています。最新バージョンでは、16バイトのランダムなバイトをハードコードされたソルトと連結し、SHA256を使用してハッシュ化されたキーでAES暗号化を使用するようになりました。暗号化後、データはBase64でエンコードされ、HTTP POSTリクエストの本文の変数の先頭に付加されます。

ドメイン生成アルゴリズム

Qakbotの初期バージョンは、ハードコードされたC2のみを使用していました(図7を参照)。

図7. ハードコードされたQakbot C2の例

ただし、バージョン2.0.1では、ハードコードされたC2に到達できない場合に備えて、バックアップC2チャネルとしてDGAが追加されていました。Qakbotは、時間ベースのDGAを使用し、特定の日付間隔で最大5,000のC2ドメインを生成しました(図8を参照)。

図8. QakbotのDGAコード

興味深いことに、Qakbotの一部のバージョンでは、研究者を欺くために、分析環境が検出されると偽のドメインが生成されていました(図9を参照)。

図9. ネットワーク モニタリング ツールが検出されると偽のドメインを生成するQakbotの例

侵害されたFTPサーバーを使用したデータの持ち出し

Qakbotのバージョン3.0.0以前は、C2サーバーに直接データを送信するのではなく、侵害されたFTPサーバーを使用してデータを持ち出していました。FTPの認証情報は、以下に示すようにQakbotの構成ファイルに保存されています。

22=<ip address 1>:[email protected]:<credspassword1>:
23=<ip address 2>:[email protected]:<credspassword2>:
24=<ip address 3>:[email protected]:<credspassword3>:
25=<ip address 4>:[email protected]:<credspassword4>:
26=
3=1581496845

しかし、この設計には、FTPの認証情報を持っていれば誰でも盗まれた情報にアクセスして復元できるという固有の弱点がありました。この弱点に対処するために、Qakbotは後に、盗んだデータをQakbotのC2インフラに直接送信するよう設計を更新しました。

侵害されたシステムのリレーとしての使用

バージョン3.2.4.8以降、QakbotはDGAの使用を停止しました。代わりに、侵害されたシステム自体をC2サーバーとして使用し始め、マルウェアの構成にIPアドレスとポート番号のリストを埋め込みました。バージョン4.0.3.2以前は、(暗号化されたリソースとして保存された)構成ファイルには、テキストベースの形式でIPアドレスのリストが含まれていました。

45.45.105.94;0;443
86.107.20.14;0;443
99.228.5.106;0;443
184.191.62.24;0;995
47.153.115.154;0;995
206.169.163.147;0;995
96.35.170.82;0;2222
73.210.114.187;0;443
75.70.218.193;0;443
…

一方、バージョン4.0.3.2以降、Qakbot C2リストはバイナリー形式に進化しました(図10を参照)。

図10. バイナリー形式のQakbot C2リスト

コマンド

Qakbotの初期バージョンでは、サーバーは記述的なテキストベースの形式でコマンドを送信していました。Qakbotのバージョン1.0と2.0でサポートされていたのが、以下のコマンドです。

• certssave
• ckkill
• cksave
• clearvars
• cron
• cronload
• cronsave
• forceexec
• ftpwork
• getip
• install3
• instwd
• kill
• killall
• loadconf
• nbscan
• psdump
• reload
• rm
• saveconf
• sleep
• socks
• sxordec
• sxorenc
• sysinfo
• thkill
• thkillall
• uninstall
• update
• update_finish
• uploaddata
• var
• wget

Qakbotの開発者はこれらのコマンドを難読化するために、バージョン3以降のビルドから、これらの文字列コマンドを整数値に置き換えました。

RSAシグネチャー検証の追加

Qakbotのバージョン3.0.0.443では、改ざんを防ぐためにRSAデジタル シグネチャーが導入されました(最初はMatrixSSLライブラリーを使用)。これは、DGAと侵害されたシステムがC2サーバーとして使用されていた場合に特に重要でした。

モジュール構造

Qakbotの設計は、バージョン1から5までに大幅に変更されました。このマルウェアはモジュール化により、新しいバージョンをリリースしなくても、動的に新機能を追加できるという特徴があります。最新バージョンでは、初期化、永続性の維持、およびコマンドとモジュールをリクエストするためのC2通信の確立を実行する軽量のステージャーを使用しています。

埋め込まれたリソース

バージョン4.0.2.19以前のQakbotは、構成情報(Webインジェクションやアプリケーション パラメーターなど)や悪意のある動作を実行するDLLを保存するために、リソース セクションを頻繁に使用していました。当初、バージョン1.0では、これらのリソースは暗号化されていませんでした。しかし、Qakbotのコードは、これらのリソースを保護するためにさまざまな暗号化アルゴリズムによって進化しました。

Qakbotのバージョン2.0では、XORベースのカスタム アルゴリズムが実装されています(図11を参照)。

図11. Qakbot 2.0がリソースを保護するために使用したカスタム暗号化アルゴリズム

この例では、暗号化されたリソースのオフセット0x7に、XORキーのサイズであるWORDが含まれていました。XORキーはリソースのオフセット0x9に配置されており、その後、XORキーの後に暗号化されたデータが連結されました。このアルゴリズムを複製したPythonコードを以下に示します。

import struct

def custom_xor(data, key):
    out = b""
    for i, eb in enumerate(data):
        v6 = eb ^ key[i % len(key)]
        v1 = (v6 & (0xff&(255 >> (8 - (i & 7))))) << (8 - (i & 7))
        v2 = (v6 >> (i & 7)) 
        v3 = v1 | v2
        out += struct.pack("B", v3)
    return out

s = open('res.bin', 'rb').read()
key_sz = struct.unpack('H', s[7:9])[0]
s = custom_xor(s[9+key_sz:], s[9:9+key_sz])
print(s)

Qakbotのバージョン3.0以降では、RC4ベースのアルゴリズムを使用してリソースを復号しました。

リソース内の最初の0x14バイトは、残りのデータを復号するためのRC4キーとして機能しました。BriefLZライブラリーのわずかに変更されたバージョンが後で追加され、特定のリソースを圧縮して全体的なファイル サイズを縮小しました。

バージョン4.0.2.1では、リソース暗号化アルゴリズムが若干変更され、リソースの最初の0x14バイトはRC4キーとして使用されなくなりました。代わりに、コードには暗号化された文字列テーブルにソルト値が含まれ、その後SHA1を使用してハッシュ化され、リソースの復号に使用されるRC4キーが導出されました。バージョン4.0.3.902では、これが再び改善され、リソースを復号するためのRC4の2つのレイヤーが追加されました。最初のRC4レイヤーは、ソルト文字列のSHA1ハッシュを使用して復号されました。2番目のレイヤーは、結果の最初の0x14バイトをキーとして使用し、以下のデータを復号しました。このアルゴリズムのPythonコードの例を以下に示します。

seed = b"Muhcu#YgcdXubYBu2@2ub4fbUhuiNhyVtcd"
key = SHA1(seed).digest()
dec_data = RC4(resource_data, key)[0x14:]
data = RC4(dec_data[0x14:], dec_data[0:0x14])[0x14:]

プラグイン

Qakbotのバージョン4.0.1では、さまざまな機能を別々のモジュールに分割するように変更されました。これにより、Qakbotはステージャーを使用し、そのC2サーバーから追加のモジュールをダウンロードし、オンデマンドで機能を追加できるようになりました。Qakbotが構築したモジュールは、Webブラウザーのフック、メール アドレス(およびメール)の窃取、保存された認証情報の収集、Cobalt Strikeの展開を実行し、他の感染したシステムとバックエンド インフラ間のトラフィックを中継するC2サーバーとして機能するものでした。

まとめ

Qakbotは高度化したトロイの木馬であり、過去15年間で大きく進化してきました。現在も驚くほどの永続性と回復性を備えています。2023年8月に解体されたにもかかわらず、この脅威グループは現在も活動を続けています。最近では、64ビット版のWindows向けにコードベースを更新し、暗号化アルゴリズムを改善したほか、さらに難読化しました。これは、Qakbotが当面の間脅威であり続ける可能性が高いことを示しています。ThreatLabzはお客様を保護する検出機能を引き続き追加していく予定です。

Zscaler Cloud Sandbox

Zscalerの多層クラウド セキュリティ プラットフォームでは、以下の脅威名のペイロードが検出されています。

Win32.Banker.Qakbot

侵害の痕跡(IoC)