Blog

Aug 13, 2023

Wie das FBI Qakbot-Malware von infizierten Windows-PCs auslöschte

Das FBI gab heute die Störung des Qakbot-Botnetzes in einer internationalen Strafverfolgungsoperation bekannt, die nicht nur Infrastruktur beschlagnahmte, sondern auch die Malware von infizierten Geräten deinstallierte.

Das FBI gab heute die Störung des Qakbot-Botnetzes in einer internationalen Strafverfolgungsoperation bekannt, die nicht nur Infrastruktur beschlagnahmte, sondern auch die Malware von infizierten Geräten deinstallierte.

Während der Strafverfolgungsoperation „Operation Duck Hunt“ am vergangenen Wochenende leitete das FBI die Netzwerkkommunikation des Botnetzes auf von ihm kontrollierte Server um, sodass Agenten etwa 700.000 infizierte Geräte (200.000 davon in den USA) identifizieren konnten.

Nachdem das FBI die Kontrolle über das Botnetz übernommen hatte, entwickelte es eine Methode, um die Malware von den Computern der Opfer zu deinstallieren und so die Infrastruktur des Botnetzes effektiv zu demontieren, von den PCs der Opfer bis zu den eigenen Computern der Malware-Betreiber.

Bevor wir erfahren, wie das FBI Qakbot von Computern deinstallierte, ist es wichtig zu verstehen, wie die Malware verbreitet wurde, welches böswillige Verhalten sie an den Tag legte und wer sie nutzte.

Qakbot, auch bekannt als Qbot und Pinkslipbot, begann 2008 als Banktrojaner und stahl Bankdaten, Website-Cookies und Kreditkarten, um Finanzbetrug zu begehen.

Im Laufe der Zeit entwickelte sich die Malware jedoch zu einem Malware-Lieferdienst, der von anderen Bedrohungsakteuren genutzt wurde, um sich zunächst Zugang zu Netzwerken zu verschaffen, um Ransomware-Angriffe, Datendiebstahl und andere böswillige Cyberaktivitäten durchzuführen.

Qakbot wird über Phishing-Kampagnen verbreitet, die eine Vielzahl von Ködern nutzen, darunter Antwortketten-E-Mail-Angriffe, bei denen Bedrohungsakteure einen gestohlenen E-Mail-Thread verwenden und dann mit ihrer eigenen Nachricht und einem angehängten bösartigen Dokument darauf antworten.

Diese E-Mails enthalten typischerweise schädliche Dokumente als Anhänge oder Links zum Herunterladen schädlicher Dateien, die die Qakbot-Malware auf dem Gerät eines Benutzers installieren.

Diese Dokumente ändern sich je nach Phishing-Kampagne und reichen von Word- oder Excel-Dokumenten mit bösartigen Makros, OneNote-Dateien mit eingebetteten Dateien bis hin zu ISO-Anhängen mit ausführbaren Dateien und Windows-Verknüpfungen. Einige von ihnen sind auch darauf ausgelegt, Zero-Day-Schwachstellen in Windows auszunutzen.

Unabhängig davon, wie die Malware verbreitet wird, wird Qakbot nach der Installation auf einem Computer in den Speicher legitimer Windows-Prozesse wie wermgr.exe oder AtBroker.exe eingeschleust, um der Erkennung durch Sicherheitssoftware zu entgehen.

Das Bild unten zeigt beispielsweise die Qbot-Malware, die in den Speicher des legitimen wermgr.exe-Prozesses eingeschleust wurde.

Sobald die Malware auf einem Gerät gestartet wird, sucht sie nach zu stehlenden Informationen, einschließlich der E-Mails eines Opfers, um sie in zukünftigen Phishing-E-Mail-Kampagnen zu verwenden.

Die Qakbot-Betreiber arbeiteten jedoch auch mit anderen Bedrohungsakteuren zusammen, um Cyberkriminalität zu erleichtern, indem sie beispielsweise Ransomware-Banden einen ersten Zugang zu Unternehmensnetzwerken verschafften.

In der Vergangenheit hat Qakbot mit mehreren Ransomware-Unternehmen zusammengearbeitet, darunter Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex und zuletzt Black Basta und BlackCat/ALPHV.

Nach Angaben des FBI haben die Qakbot-Betreiber zwischen Oktober 2021 und April 2023 etwa 58 Millionen US-Dollar mit Ransomware-Zahlungen verdient.

Im Rahmen der heutigen Ankündigung erklärt das FBI, dass es ihm gelungen sei, das Botnetz zu zerschlagen, indem es die Serverinfrastruktur des Angreifers beschlagnahmte und ein spezielles Entfernungstool entwickelte, das die Qakbot-Malware von infizierten Geräten deinstallierte.

Laut einem vom Justizministerium veröffentlichten Antrag auf Beschlagnahmungsbefehl konnte sich das FBI Zugang zu den Verwaltungscomputern von Qakbot verschaffen, was den Strafverfolgungsbehörden dabei half, die für den Betrieb des Botnetzes verwendete Serverinfrastruktur zu ermitteln.

Auf der Grundlage seiner Ermittlungen stellte das FBI fest, dass das Qakbot-Botnetz Tier-1-, Tier-2- und Tier-3-Befehls- und Kontrollserver nutzte, die zum Erteilen von Befehlen zur Ausführung, zum Installieren von Malware-Updates und zum Herunterladen zusätzlicher Partner-Payloads auf Geräte verwendet werden .

Tier-1-Server sind infizierte Geräte mit einem installierten „Supernode“-Modul, die als Teil der Befehls- und Kontrollinfrastruktur des Botnetzes fungieren. Einige der Opfer befinden sich in den USA. Tier-2-Server sind ebenfalls Command-and-Control-Server, die Qakbot-Betreiber betreiben sie jedoch in der Regel von gemieteten Servern außerhalb der USA.

Das FBI sagt, dass sowohl die Tier-1- als auch die Tier-2-Server zur Weiterleitung der verschlüsselten Kommunikation mit den Tier-3-Servern verwendet werden.

Diese Tier-3-Server fungieren als zentrale Befehls- und Kontrollserver für die Ausgabe neuer Befehle zur Ausführung, den Download neuer Schadsoftwaremodule und die Installation von Malware von den Partnern des Botnets, beispielsweise Ransomware-Banden.

Alle 1 bis 4 Minuten kommunizierte die Qakbot-Malware auf infizierten Geräten mit einer integrierten Liste von Tier-1-Servern, um eine verschlüsselte Kommunikation mit einem Tier-3-Server herzustellen und Befehle zur Ausführung oder neue Payloads zur Installation zu empfangen

Nachdem das FBI jedoch die Infrastruktur und die Geräte der Administratoren von Qakbot infiltriert hatte, griffen sie auf die Verschlüsselungsschlüssel zu, die für die Kommunikation mit diesen Servern verwendet wurden.

Mithilfe dieser Schlüssel nutzte das FBI ein infiziertes Gerät unter seiner Kontrolle, um jeden Tier-1-Server zu kontaktieren und das bereits installierte „Supernode“-Modul von Qakbot durch ein von den Strafverfolgungsbehörden erstelltes Modul zu ersetzen.

Dieses neue vom FBI kontrollierte Superknotenmodul verwendete verschiedene Verschlüsselungsschlüssel, die den Qakbot-Betreibern nicht bekannt waren, und sperrte sie effektiv aus ihrer eigenen Befehls- und Kontrollinfrastruktur aus, da sie keine Möglichkeit mehr hatten, mit den Tier-1-Servern zu kommunizieren.

Das FBI erstellte dann eine benutzerdefinierte Windows-DLL (oder ein Qakbot-Modul) [VirusTotal], die als Entfernungstool fungierte und von den jetzt gekaperten Tier-1-Servern auf infizierte Geräte übertragen wurde.

Basierend auf einer Analyse des FBI-Moduls durch SecureWorks gab diese benutzerdefinierte DLL-Datei den Befehl QPCMD_BOT_SHUTDOWN an die auf infizierten Geräten ausgeführte Qakbot-Malware aus, was dazu führte, dass der Malware-Prozess nicht mehr ausgeführt wurde.

Laut SecureWorks wurde dieses benutzerdefinierte Modul erstmals am 25. August um 19:27 Uhr ET auf infizierte Geräte übertragen.

„Am 25. August um 00:27 Uhr BST entdeckten CTU-Forscher, dass das Qakbot-Botnetz Shellcode an infizierte Geräte verteilte“, erklärt SecureWorks.

„Der Shellcode entpackt eine benutzerdefinierte ausführbare DLL-Datei (Dynamic Link Library), die Code enthält, der den laufenden Qakbot-Prozess auf dem Host sauber beenden kann.“

Das FBI sagt, dass dieses Qakbot-Entfernungstool von einem Richter mit einem sehr begrenzten Umfang genehmigt wurde, der nur die Entfernung der Malware von infizierten Geräten umfasst.

Da die Malware außerdem in den Speicher eines anderen Prozesses eingeschleust wird, muss das Entfernungstool nichts auf der Festplatte lesen oder schreiben, um den Prozess herunterzufahren.

„Qakbot stellt eine Persistenz auf einem Host her, wenn es erkennt, dass ein Benutzer ein Herunterfahren des Systems einleitet. Die Verwendung der Named Pipe zum Beenden des Qakbot-Prozesses umgeht die Persistenz“, fährt SecureWorks fort.

„Daher wird Qakbot nicht ausgeführt, wenn der Host neu gestartet wird.“

Allerdings kann QakBot, wie in den Kommentaren unten erwähnt, auch eine geplante Aufgabe erstellen, um die Malware beim Start zu starten und die Malware möglicherweise erneut in den Speicher zu laden.

Dies würde zu einem wiederholten Zyklus von QakBot-Starts und Deinstallationen führen, während das FBI-Modul heruntergeladen wird, wie SecureWorks BleepingComputer weiter unten erklärt.

Derzeit ist sich das FBI nicht sicher, wie viele Geräte auf diese Weise gereinigt wurden. Da der Prozess jedoch am Wochenende begann, gehen sie davon aus, dass weitere Geräte gereinigt werden, wenn sie sich wieder mit der gekaperten Qakbot-Infrastruktur verbinden.

Das FBI teilte außerdem eine Datenbank mit von der Qakbot-Malware gestohlenen Anmeldeinformationen mit Have I Been Pwned und der niederländischen Nationalpolizei.

Da auf infizierten Geräten keine Benachrichtigungen angezeigt werden, wenn die Malware entfernt wird, können Sie diese Dienste nutzen, um festzustellen, ob Ihre Zugangsdaten gestohlen wurden, was darauf hindeutet, dass Sie möglicherweise einmal mit der Qakbot-Malware infiziert waren.

Dies ist nicht das erste Mal, dass das FBI einen gerichtlich genehmigten Beschlagnahmungsbefehl nutzt, um Malware von infizierten Geräten zu entfernen.

Das FBI hatte zuvor die gerichtliche Genehmigung erhalten, die Datendiebstahl-Malware Russian Snake und die Schadsoftware Emotet von infizierten Geräten sowie Web-Shells auf Microsoft Exchange-Servern, die bei ProxyLogon-Angriffen eingesetzt wurden, zu entfernen.

Obwohl dies definitiv ein Sieg für die Strafverfolgungsbehörden ist, bedeutet dies möglicherweise nicht das Ende der Qakbot-Operation, da es zu keinen Festnahmen kam.

Daher werden wir wahrscheinlich erleben, dass die Qakbot-Betreiber in den nächsten Monaten damit beginnen, ihre Infrastruktur durch Phishing-Kampagnen oder den Kauf von Installationen über andere Botnetze neu aufzubauen.

Update 30.08.23: Informationen zur Persistenz hinzugefügt

Das Qakbot-Botnetz wurde nach der Infektion von über 700.000 Computern zerschlagen

DreamBus-Malware nutzt RocketMQ-Schwachstelle aus, um Server zu infizieren

Das MyKings-Botnet ist immer noch aktiv und macht riesige Geldbeträge

Gafgyt-Malware nutzt fünf Jahre alten Fehler im EoL-Router von Zyxel aus

AVrecon-Malware infiziert 70.000 Linux-Router und baut ein Botnetz auf