研究人员解密了Qakbot Banking特洛伊木马加密的注册表项

网络安全研究人员已经破解了多功能Qakbot banking特洛伊木马处理将加密配置数据插入Windows注册表的机制

Qakbot，也称为QBot、QuackBot和Pinkslipbot，从2007年开始在野外被观察到。虽然Qakbot主要被塑造成一种窃取信息的恶意软件，但此后，Qakbot改变了目标，获得了新的功能，以提供Cobalt Strike Beacon等泄露后攻击平台，最终目标是在受感染的机器上加载勒索软件

“它一直在不断开发，引入了新功能，如横向移动、过滤电子邮件和浏览器数据的能力，以及安装额外的恶意软件，”Trustwave研究人员劳埃德·马克霍恩和罗德尔·门德雷斯在与《黑客新闻》分享的一份报告中说

最近几个月，网络钓鱼活动的高潮是一款名为SquirreWaffle的新装载机的发布，它充当了一个渠道，可以检索Cobalt Strike和QBot等最后阶段的有效负载

Qakbot的较新版本还能够劫持电子邮件和浏览器数据，并将与恶意软件有关的加密配置信息插入注册表，而不是将其写入磁盘上的文件，以避免留下任何感染痕迹

“虽然QakBot不会完全无文件化，但它的新策略肯定会降低其检测率，”大黄蜂安全研究人员在2020年12月指出

Trustwave对该恶意软件的分析旨在对该过程进行反向工程，并解密存储在注册表项中的配置，网络安全公司指出，用于加密注册表项值数据的密钥来自计算机名、卷序列号和用户帐户名的组合，然后将其与一个单字节标识符（ID）一起进行散列和盐析

“SHA1哈希结果将被用作派生密钥，使用RC4算法对ID对应的注册表项值数据进行解密，”研究人员说，此外还提供了一个基于Python的解密工具，可用于从注册表提取配置