แม้ว่าในช่วง 2-3 ปีที่ผ่านมา Microsoft ได้ทำงานที่น่ายกย่องในการต่อสู้กับมัลแวร์และป้องกันความเสียหาย รวมถึงการห้ามไม่ให้เรียกใช้มาโครในไฟล์ Office ที่ดาวน์โหลดจากอินเทอร์เน็ตเมื่อเร็วๆ นี้ แต่ดูเหมือนว่าผู้คุกคามมักพบอยู่เสมอ วิธีที่มัลแวร์ Qbot ฉาวโฉ่ได้พัฒนาเพื่อให้คงประสิทธิภาพกับ Microsoft ล่าสุด ชั้นเชิง
จากการวิจัยที่ดำเนินการโดย Black Lotus Labs มัลแวร์ Qbot ซึ่งเริ่มแรกเริ่มเป็นโทรจันธนาคารเมื่อกว่าทศวรรษที่แล้ว ได้ปรับเปลี่ยนเครือข่ายการกระจาย วิธีการปรับใช้ และคำสั่งและการควบคุมอย่างรวดเร็ว (C2 ) เซิร์ฟเวอร์เพื่อตอบสนองต่อการเปลี่ยนแปลงของ Microsoft นอกจากนี้ ผู้ก่อภัยคุกคามยังได้แนะนำเทคนิคใหม่สำหรับการเข้าถึงเบื้องต้นในแคมเปญฟิชชิง เช่น การใช้ไฟล์ OneNote ที่เป็นอันตราย การหลีกเลี่ยง Mark of the Web และการลักลอบใช้ HTML
“Qakbot แสดงให้เห็นถึงความยืดหยุ่นโดยใช้วิธีการที่ชาญฉลาด ในการสร้างและพัฒนาสถาปัตยกรรมของมัน..มันแสดงให้เห็นถึงความเชี่ยวชาญทางเทคนิคโดยใช้วิธีการเข้าถึงเบื้องต้นที่หลากหลาย และการรักษาสถาปัตยกรรม C2 ที่อยู่อาศัยที่แข็งแกร่งแต่หลีกเลี่ยงไม่ได้” อ่านรายงาน
ความสามารถในการปรับตัวที่ดีขึ้น
นอกจากวิธีการปรับใช้ใหม่แล้ว ตัวดำเนินการ Qbot ยังได้แก้ไข วิธีการจัดการเซิร์ฟเวอร์ C2 ของพวกเขา แทนที่จะอาศัยโฮสต์เซิร์ฟเวอร์เสมือนส่วนตัว (VPS) ผู้คุกคามจะซ่อนเซิร์ฟเวอร์ C2 ภายในเว็บเซิร์ฟเวอร์ที่ถูกบุกรุกและโฮสต์ในพื้นที่ IP ที่อยู่อาศัย แม้ว่าวิธีนี้จะส่งผลให้เซิร์ฟเวอร์มีอายุการใช้งานสั้นลง แต่แฮ็กเกอร์ก็สามารถรับเซิร์ฟเวอร์ใหม่ได้อย่างรวดเร็ว เซิร์ฟเวอร์ C2 ใหม่ประมาณ 90 เซิร์ฟเวอร์ปรากฏขึ้นทุกสัปดาห์ในระหว่างวงจรสแปม
นอกจากนี้ การแปลงบอทเป็นเซิร์ฟเวอร์ C2 มีความสำคัญต่อการดำเนินงานของ Qbot นี่เป็นเพราะกว่า 25% ของเซิร์ฟเวอร์เหล่านี้เปิดใช้งานเป็นเวลาหนึ่งวัน และครึ่งหนึ่งไม่สามารถอยู่รอดได้เกินหนึ่งสัปดาห์ ดังนั้น บอทที่แปลงแล้วจึงมีบทบาทสำคัญในการเติมเต็มเซิร์ฟเวอร์ C2
ที่แย่ไปกว่านั้น รายงานระบุว่ามัลแวร์จะยังคงเป็นภัยคุกคามที่สำคัญในอนาคตอันใกล้ “ขณะนี้ยังไม่มีสัญญาณว่า Qakbot จะทำงานช้าลง”
