Skip to content

QakBot Hunting

QBot olarak da bilinen zararlının tabiri caizse iş akışı aşağıda;

Bu akışa göre ve siber güvenlik araştırmacılarının bulgularına göre kendi hunting query’lerinizi oluşturabilirsiniz.

Basit ve hızlıca arama yapabilmeniz için hazırladığım Query’leri aşağıda paylaşıyorum;

Excel regsvr32 ‘yi kullanarak şüpheli dosya load ediyor

 type_id:8001 and operation:1 and event_actor.file.name:excel.exe and process.file.name:regsvr32.exe and ((process.cmd_line:"regsvr32" and process.cmd_line:.ocx) or (process.cmd_line:"regsvr32 -silent ..\celod.wac" or "regsvr32.exe -silent ..\celod.wac*") or (process.cmd_line:"regsvr32 -s *.dll" or process.cmd_line:"regsvr32.exe -s *.dll"))

Wscript şüpheli parametrelerle cmd çağıyor

Event Type Id:8001-Process Activity AND Actor File Name:wscript.exe AND Process Name:cmd.exe  AND Actor Command Line:*.js* AND Process Command Line:*r32\"*

Regsrv32 şüpheli extension

type_id:8001 AND ( event_actor.file.name:cmd.exe OR event_actor.file.name:regsvr32.exe) AND process.file.name:regsvr32.exe AND process.cmd_line:*.db
Published inEndpoint Security