如何检测Qakbot木马

网站恶意软件流量分析是捕获网络流量中恶意软件的重要来源。我决定以一个Qakbot感染的spambot活动为例。首先需要了解如下内容

• Qakbot：一个活跃的银行木马
• Cobalt Strike：一款商业渗透测试工具，不幸的是，Cobalt Strike的盗版已经被泄露。
• Spambot活动，分发QakBot

默认情况下，ntopng是监控实时网络的，但是将接口定向到pcap标准数据包文件，也可以读取和处理它。

分析网络流量

首先要启动ntopng，打开指定的pcap：

sudo ntopng -i 2020-12-07-Qakbot-with Cobalt Strike-and-Spambot-activity.pcap

可以通过Web gui访问ntong

http：// localhost：3000或http：// <服务器ip>：3000

ntopng将提示您输入用户名和密码。登录后，您将看到界面概述，显示选定的界面是pcap dump和pcap文件的名称：

快速浏览一下流量摘要图标可以看到，ntopng发现了许多问题：

现在，我不再检查流量警告或错误，而是从“地图”菜单导航到“主机地图”，然后在下拉过滤器菜单中选择“警报流量”。该视图提供了带有警报的主机的概述。主机映射在x轴主机（显示为带有警报的服务器）和y轴主机（显示为客户端）上显示。注意：主机可以是服务器和/或客户端。圆圈的大小与警报的数量成正比，即，最大的圆圈显示警报次数最多的主机。在过滤器下拉列表中，您可以找到其他有用的过滤器，例如“流量比率”或“ DNS请求与响应”。

继续关注最大的圆圈，即左上角的圆圈，因为该主机大约有170个警报。鼠标悬停显示IP地址10.12.7.101，单击圆圈打开主机信息页面：

从上图我们可以得到如下信息：

1、主机是Windows 8客户端；

2、主机作为客户端的安全评分为19905，单个主机的安全评分很高。ntop使用分数作为基于风险的方法来解决安全性或与协议相关的缺陷。例如，流中的恶意数据使主机得分增加210，流中的可疑数据增加200。例如，高于1000表示不良，低于100表示一切良好，相反，可以看到分数作为可能出现问题的指标；

3、在来自此主机的634个流中，有168个警报。这意味着大约。1/4的流量有问题。确实非常不寻常。

对于该主机，统计了152个SMTP（或SMTPS）流。这意味着用户已连接到许多不同的SMTP服务器。同样，这对于客户来说是非常不寻常的。一个普通用户可能拥有5或10个不同的电子邮件帐户，导致10+ SMTP流，但是152个SMTP连接看起来不正常。

现在，让我们检查由ntopng生成的警报。通过单击警告标志 ，主机视图的流警报将打开：

我按得分筛选的列表，以获得得分最高的警报。

让我们仔细看看第一个错误，“ TLS证书自签名”。我们可以通过按放大镜按钮来向下钻取：

再次看到有很多关于流的信息。为了进行安全性分析，我们仔细研究三个突出显示的项目：

1、客户请求的提取URL http：// amajai-technologies .world /看起来一目了然。它看上去是不是与akamaitechnologies.com很相似？相似域在日常工作中容易受到监督，并且是真正的网络安全威胁。

2、TLS证书是自签名的：红色标志。没有信誉良好或专业的服务会使用自签名证书进行外部/ Internet通信。此外，TLS颁发者和主题字段为空，红色标记变大了。作为参考，证书颁发者的信息如下所示：

3、假设这个流有什么奇怪的地方，可以通过JA3客户端指纹进行验证。 如下图所示客户端指纹被列为恶意。从JA3到sslbl.abuse.ch进一步了解，是的，客户端证书是恶意的。

虽然被列入黑名单的JA3并不是Qakbot，但我们刚刚发现，这台主机感染了Gozi银行木马。

结论

即使是用于分析记录的网络流量，ntopng还是帮助您大致了解网络情况的好方法。但是ntopng的真正价值在于，它可以实时进行所有评分和警报。面对上述恶意软件，我可能不会立即知道它到底是什么类型的恶意软件，但是生成的警报强烈表明该主机存在问题，可以将其与网络隔离以进行进一步分析。