QBOT变种近期活动及分析

概述

彼时，Mirai与QBOT先后在GitHub上公开了源代码，对IOT安全产生了巨大的影响，在此前Mirai的感染过程中还主要针对QBOT做了一系列对抗的行为。

近期绿盟威胁情报中心（NTI）研究团队捕获到了首例结合Mirai扫描特征的QBOT变种，同时该变种还增加了多个漏洞利用进行传播。

从其传播的方式可以看出，该变种主要是针对路由器、家庭网关设备进行攻击，目标群体为网络质量较好的互联网用户(包括商户，企业，对网络要求较高的个人用户)。

按照绿盟威胁情报中心（NTI）对QBOT及其变种的监控情况来看，近期捕获的QBOT变种较多，表明其活动较为活跃，处于构建僵尸网络的阶段。

变种更新

1、增加了Mirai的扫描及加解密模块；

2、增加了CVE-2014-8361、CVE-2015-2051、CVE-2017-17215以及D-Link 2018-05-15披露的D-Link DSL-2750B；

3、出现了多种上线信息，表明攻击者可能非同一团伙；

4、对命令的修改各有不同，在命令中找到了update指令，但是攻击者并没有将其完整实现，仅仅是提供了命令字符，具有持续关注的价值。

技术细节

与Mirai相似的代码结构，以及完整的复用Mirai的扫描代码，因此大多数杀软将其识别为Mirai。

弱口令也通过与Mirai相同的方式进行加解密。

此次捕获到的QBOT增加了漏洞利用的部分，包括：

CVE-2014-8361、CVE-2015-2051、CVE-2017-17215，以及一个针对DLink的D-Link DSL-2750B，该漏洞2018-05-15才披露exp。

命令控制及上线：

利用QBOT的全部命令格式，将命令分割符变换为”.”。

缩减命令字长度：

同时最近几日接连捕获到QBOT变种，拥有不同的上线信息：

但这些变种中没有扫描或者漏洞利用的部分，仅通过telnet弱口令进行一次投递传播。

每个变种对命令字都进行了修改。在最新的一个QBOT中，已经出现了更新字段，但仍然没有实现完整。

随后，我们捕获到了一些攻击数据，几分钟内就出现了多个UDP Flood、STP Flood攻击，攻击者目前极度活跃：

IOC

关联样本：

327798AB42D8280822D911B9138B4B7B-exploit

51C9CE815047A53C8E374DE95D364CE5-x86_64

7F5D3C30DC16C572F96108DBAA234191-x86_64

4A39B5A06935F6371212D3028551EC40-mips

受攻击IP：

23.*.*.147

8.*.*.8

C&C IP:

212.*.*.71

138.*.*.15

209.*.*.21

内容编辑：威胁情报中心 责任编辑：肖晴