[IMG WIDTH=1600 HEIGHT=800]https://www.bleepstatic.com/content/hl-images/2020/12/09/Qbot.jpg[/IMG]

[B]Новая версия вредоносного ПО Qbot теперь активирует свой механизм сохранения непосредственно перед выключением зараженных устройств Windows и автоматически удаляет все следы при перезагрузке системы или выходе из спящего режима.[/B]

Qbot (также известный как Qakbot, Quakbot и Pinkslipbot) - это банковский троян для Windows с функциями червя, активными по крайней мере с 2009 года и используемыми для кражи банковских учетных данных, личной информации и финансовых данных.

Вредоносная программа также использовалась для регистрации нажатий клавиш пользователем, для установки бэкдоров на взломанных компьютерах и для развертывания маяков Cobalt Strike, используемых операторами программ-вымогателей для доставки полезных нагрузок программ-вымогателей ProLock и Egregor.

В недавних кампаниях жертвы Qbot были заражены с помощью фишинговых писем с вложениями документов Excel, выдаваемых за документы DocuSign.

Начиная с 24 ноября, когда исследователь угроз Binary Defense Джеймс Куинн сообщил, что была обнаружена новая версия Qbot, вредоносная программа использует более новый и скрытый механизм сохранения, который использует сообщения о завершении работы системы и возобновлении работы для переключения сохраняемости на зараженных устройствах.

«В то время как в первоначальных отчетах других исследователей говорилось, что в новой версии Qakbot был удален механизм сохранения ключа Run, он вместо этого был добавлен к более скрытому и интересному механизму сохранения, который прослушивает сообщения о завершении работы системы, а также PowerBroadcast Suspend / Resume сообщения ", - объясняет Куинн.

Троян добавит в реестр раздел Run в зараженных системах, который позволяет ему автоматически запускаться при входе в систему, и будет пытаться немедленно удалить его, как только пользователь включит питание или выйдет из спящего режима компьютер, чтобы избежать обнаружения антивирусными решениями или средствами безопасности.

Что делает эту технику незаметной, так это идеальное время, используемое разработчиками Qbot для внедрения ключа в реестр Windows.

Вредоносная программа только добавит ключ запуска перед тем, как система перейдет в спящий режим или выключится, но сделает это настолько близко к тому, что «продукты безопасности не смогут обнаружить новый ключ запуска и сообщить о нем».

Затем Qbot попытается удалить ключ сохранения несколько раз после того, как он снова запустится при пробуждении системы или входе в систему.

Хотя этот метод обеспечения устойчивости является новым для Qbot, другие вредоносные программы использовали аналогичные методы для уклонения от обнаружения в прошлом, в том числе банковские трояны Gozi и Dridex.

"Похоже, что два семейства вредоносных программ имеют схожий механизм в том смысле, что оба они прослушивают сообщения WM_QUERYENDSESSION и WM_ENDSESSION, чтобы определить, когда пользователь выходит из системы, но новая версия Qakbot идет дальше, также ища события питания, такие как WM_POWERBROADCAST и PBT_APMSUSPEND для установки своих перехватчиков, когда система также приостановлена »

Изменения в установке и конфигурации

Методика установки Qbot также была обновлена ​​в этой новой версии, поскольку она использует новую архитектуру DLL, которая объединяет загрузчик вредоносных программ и бота в одной DLL.

Ранее загрузчик избегал обнаружения автоматизированными системами «песочницы» вредоносных программ, сохраняя весь вредоносный код в отдельном компоненте DllRegisterServer и вызывая его только через regsvr32.exe или rundll32.exe при использовании определенных аргументов командной строки.

Новая версия упрощает эту технику, удаляя аргументы командной строки из процесса и переключая внедрение кода бота во вновь созданные процессы.

«Удаление переключателей командной строки и проверок анализа посредством создания нового процесса (при сохранении многих проверок антианализа и песочницы), механизм установки нового загрузчика происходит только после того, как бот был внедрен в explorer.exe»

https://www.bleepingcomputer.com/news/security/qbot-malware-switched-to-stealthy-new-windows-autostart-method/

[QUOTE]Андрей Козыков написал:
Пожалуйста[/QUOTE]

Установщик Windows выполнил установку продукта. Продукт: ESET Security. Версия: 14.0.22.0. Язык: 1049. Изготовитель: ESET, spol. s r.o.. Установка завершена с состоянием: 1603

Product: ESET Security -- The installer has encountered an unexpected error installing this package. This may indicate a problem with this package. The error code is 2203. The arguments are: C:\WINDOWS\Installer\inprogressinstallinfo.ipi, -2147287037,

добавьте еше лог EsetlogCollector
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe

здесь есть небольшая инструкция
https://forum.esetnod32.ru/forum9/topic10671/

[QUOTE]RP55 RP55 написал:
Norton LifeLock покупает Avira за 360 миллионов долларов
да купить клиентскую базу в 30 000 000пользователей - большая удача.

вот еще одна интересная тема
https://virusinfo.info/showthread.php?t=226035

массовое заражение win 2008 r2 и win7 .спорадическая перезагрузка, нет доступа к общим папкам

вполне возможно, что Boot.Galaxy, хотя с примерами массового заражения этим трояном еще не сталкивался,
возможно получили доступ к одному из компов в локальной сети и разгулялись на славу.

[QUOTE]Андрей Козыков написал:
Проблема не решена![/QUOTE]
добавьте новые логи FRST

[QUOTE]RP55 RP55 написал:
forum.kasperskyclub.ru/topic/78269-heurtrojanmsilminergen-peresozdaetsja/[/QUOTE]

да, тема интересная, хотя это и не ново, что вредоносные скрипты могут запускаться через задания в в MSSLServer

[QUOTE]RP55 RP55 написал:
MrbMiner & SQL Server

forum.kasperskyclub.ru/topic/78269-heurtrojanmsilminergen-peresozdaetsja/

Нужно ли здесь что-то менять в uVS - ?[/QUOTE]
посмотрю позже.

кстати, Sysinspector теперь включает в отчет скрипты WMI

[IMG WIDTH=1600 HEIGHT=800]https://www.bleepstatic.com/content/hl-images/2020/12/02/TrickBoot1.jpg[/IMG]

[B]Разработчики вредоносного ПО TrickBot создали новый модуль, который исследует уязвимости UEFI, демонстрируя усилия злоумышленника на уровне, который дал бы им полный контроль над зараженными машинами.
[/B]
Имея доступ к прошивке UEFI, злоумышленник установит на скомпрометированной машине контроль, который сохраняется после переустановки операционной системы или замены накопителей.

Вредоносный код, внедренный в прошивку (буткиты), невидим для решений безопасности, работающих поверх операционной системы, потому что он загружается раньше всего, на начальном этапе загрузки компьютера.

Буткиты позволяют контролировать процесс загрузки операционной системы и саботировать защиту на более высоком уровне. Поскольку код запускается на самой ранней стадии, механизм безопасной загрузки не помогает, так как он зависит от целостности прошивки.

Последствия, связанные с получением злоумышленником такого постоянного присутствия на машине, огромны, особенно в случае TrickBot, чье среднее ежедневное заражение может достигать нескольких тысяч.

[B]Ориентация на платформы Intel[/B]

Сегодня в совместном отчете отдела кибербезопасности Advanced Intelligence (AdvIntel) и исследователей из фирмы Eclypsium, занимающейся аппаратным обеспечением и безопасностью, представлены технические подробности о новом компоненте TrickBot.

На этом этапе TrickBoot действует как средство разведки, проверяя наличие уязвимостей в прошивке UEFI зараженной машины. На данный момент проверка нацелена только на платформы Intel (Skylake, Kaby Lake, Coffee Lake, Comet Lake). Тем не менее, модуль также включает в себя код для чтения, записи и стирания прошивки, поэтому его можно использовать для значительных повреждений.

Он проверяет, активна ли защита от записи UEFI / BIOS, с помощью драйвера RwDrv.sys от RWEverything, бесплатной утилиты, которая обеспечивает доступ к аппаратным компонентам, таким как микросхема флэш-памяти SPI, на которой хранится прошивка BIOS / UEFI системы.

Данный инструмент использовался в LoJax, первом рутките UEFI, обнаруженным в дикой природе, в результате атаки российских хакеров, известных как APT28 (Fancy Bear, Sednit, Strontium, Sofacy).

   «Все запросы к прошивке UEFI, хранящейся во флэш-чипе SPI, проходят через контроллер SPI, который является частью концентратора контроллеров платформы (PCH) на платформах Intel. Этот контроллер SPI включает механизмы контроля доступа, которые можно заблокировать во время процесса загрузки, чтобы предотвратить несанкционированное изменение прошивки UEFI, хранящейся в микросхеме флэш-памяти SPI »

- совместный отчет (Eclypsium, AdvIntel)

Исследователи говорят, что защита от записи BIOS / UEFI доступна в современных системах, но эта функция часто не активна или настроена неправильно, что позволяет злоумышленникам изменить прошивку или удалить ее, чтобы заблокировать устройство.

Исследователи обнаружили модуль 19 октября и назвали его TrickBoot, за его функциональность и название вредоносного ботнета, которое его развертывает.

В образце, проанализированном Advanced Intelligence, исследователи обнаружили имя «PermaDll», связанное с файлом «user_platform_check.Dll» в новом образце TrickBot.

Изучение файла с помощью Eclypsium показало, что злоумышленник реализовал механизм, который проверял однокристальный чипсет в скомпрометированной системе.

Исследователи обнаружили, что роль модуля заключалась в выполнении запросов PCH для определения конкретной модели PCH, запущенной в системе, таким образом идентифицируя платформу. Эта информация также позволяет злоумышленнику проверить, уязвима платформа или нет.

Исследователи также обнаружили, что актер использует функции известного инструмента эксплуатации встроенного ПО и библиотеки под названием fwexpl для следующих целей:

читать данные с аппаратных портов ввода-вывода
вызвать драйвер rwdrv.sys для записи данных в аппаратные порты ввода-вывода
вызвать драйвер rwdrv.sys для чтения данных из адресов физической памяти
вызвать драйвер rwdrv.sys для записи данных по адресам физической памяти

Исследователи отмечают, что если TrickBoot работает на платформе, отсутствующей в его таблице поиска, он активирует функцию с предварительно установленным Skylake набором значений по умолчанию для операций, требующих доступа к оборудованию.

После идентификации платформы TrickBoot обращается к путям, связанным с чтением регистров для флэш-памяти (SPIBAR, PRO-PR4) и управлением BIOS (BC - содержит биты блокировки защиты от записи для доступа к BIOS на аппаратном уровне).

Интересной находкой в функции, которая пытается отключить защиту от записи BIOS, является то, что она содержит ошибку, которая считывается с неправильного смещения в регистре управления BIOS, чтобы проверить, установлен ли бит отключения защиты от записи BIOS. Это приводит к тому, что код интерпретирует, что защита от записи активна, и пытается ее отключить.

[B]Основные последствия[/B]

[B]TrickBot, разрабатывающий такой модуль, ясно указывает на то, что злоумышленник прилагает усилия для расширения своего контроля над скомпрометированными системами. В ботнете уже есть тысячи зараженных машин, на которых злоумышленник может выбирать наиболее ценные цели.
[/B]
Телеметрия AdvIntel показывает, что ежедневное число заражений TrickBot с 3 октября по 21 ноября достигло пика в 40 000, а в среднем - от 200 до 4 000. Эти цифры консервативны, так как не учитываются зараженные компьютеры в частных сетях, которые взаимодействуют извне, используя IP-адрес шлюза.

Выбор наиболее прибыльных жертв осуществляется вручную на основе данных, полученных с помощью сценариев разведки, которые извлекают информацию из сетей, оборудования и программного обеспечения жертвы.

Операторы финансово мотивированы и используют ботнет для доставки программ-вымогателей Ryuk и Conti на дорогостоящие машины. С 2018 года они заработали не менее 150 миллионов долларов. Только у одной недавней жертвы они взяли 2200 BTC (на тот момент они оценивались в 34 миллиона долларов).

TrickBot - действительно киберпреступное предприятие, вовлеченное в несколько схем зарабатывания денег, включая банковское мошенничество и кражу финансовой / личной информации.

[B]Защита[/B]

Джесси Майкл, из Eclypsium, пишет, что определение того, была ли взломана система на уровне прошивки UEFI, является сложной задачей.

Более тщательный метод состоит в том, чтобы прочитать содержимое микросхемы памяти SPI, когда система выключена, путем физического подключения устройства программирования флэш-памяти SPI. Однако это решение требует не только опыта, но и длительного простоя компании, поскольку в некоторых случаях микросхема припаяна к материнской плате, и это сопряжено с риском проблем с чтением.

Другой метод - использовать инструменты с открытым исходным кодом (CHIPSEC) или платформу Eclypsium, которая ищет слабые места на уровне оборудования и прошивки, а также может определить, активна ли защита от записи BIOS.

Проверка хэшей прошивки также помогает определить, не был ли изменен код. Кроме того, обновление прошивки - хороший способ убедиться, что она не подвержена известным уязвимостям.

На основе анализа образца TrickBoot модуль только идентифицирует оборудование и проверяет, доступна ли запись в область BIOS. Но это можно легко изменить, чтобы разрешить запись во флэш-память SPI и изменить прошивку системы.

https://www.bleepingcomputer.com/news/security/trickbots-new-module-aims-to-infect-your-uefi-firmware/

да, можно отменить, если после устранения неполадок нужные правила в IDS заработали.
можно периодически заходить в этот режим "устранения неполадок в защите сети", для проверки, если какие то заблокированные соединения и устройства.

да, в этом режиме еще надо смотреть.
по моему это доп. правила в защите от сетевых угроз (механизм IDS)