O Qakbot é um malware bancário que pode roubar credenciais, dados financeiros e implantar ransomware em sistemas infectados. Ele usa técnicas sofisticadas de evasão e persistência para evitar a detecção e a remoção. Neste post, vamos apresentar uma ferramenta chamada Anti-Qakbot, que pode ajudar a detectar e eliminar o Qakbot de uma rede comprometida.
Anti-Qakbot é uma ferramenta desenvolvida pela equipe de resposta a incidentes da Fox-IT, que tem experiência em lidar com ataques do Qakbot. Ela usa uma abordagem baseada em rede para identificar os hosts infectados pelo Qakbot e interromper sua comunicação com os servidores de comando e controle (C2). Ela também pode coletar informações sobre as configurações, os módulos e as chaves do Qakbot, que podem ser usadas para análise forense ou descriptografia de arquivos criptografados pelo ransomware.
A ferramenta consiste em dois componentes: um sniffer e um injector. O sniffer é responsável por capturar o tráfego de rede entre os hosts infectados e os servidores C2 do Qakbot. Ele analisa os pacotes e extrai os dados relevantes do Qakbot, como o identificador do bot, o endereço IP, o nome do domínio, o hash do módulo, etc. O injector é responsável por enviar pacotes forjados para os hosts infectados, com o objetivo de interromper sua comunicação com os servidores C2. Ele pode enviar pacotes de desinstalação, que fazem com que o Qakbot se remova do sistema, ou pacotes de bloqueio, que fazem com que o Qakbot pare de se comunicar com os servidores C2.
Para usar a ferramenta, é preciso ter acesso a um ponto de observação na rede, onde seja possível capturar e injetar pacotes. A ferramenta pode ser executada em modo passivo ou ativo. No modo passivo, ela apenas captura e analisa o tráfego do Qakbot, sem enviar nenhum pacote forjado. No modo ativo, ela envia pacotes forjados para os hosts infectados, de acordo com as opções escolhidas pelo usuário. A ferramenta tem uma interface gráfica que permite visualizar as informações coletadas e controlar as ações de remediação.
Anti-Qakbot é uma ferramenta útil para combater o Qakbot, mas não é uma solução definitiva. Ela pode ajudar a reduzir o impacto do malware e facilitar a recuperação dos sistemas afetados, mas não pode garantir a remoção completa do Qakbot ou a prevenção de novas infecções. Por isso, é recomendável usar a ferramenta em conjunto com outras medidas de segurança, como atualização de sistemas, antivírus, firewall, backup, etc.
Para mais informações sobre a ferramenta e o Qakbot, consulte os links abaixo: