QBot olarak da bilinen zararlının tabiri caizse iş akışı aşağıda;
Bu akışa göre ve siber güvenlik araştırmacılarının bulgularına göre kendi hunting query’lerinizi oluşturabilirsiniz.
Basit ve hızlıca arama yapabilmeniz için hazırladığım Query’leri aşağıda paylaşıyorum;
Excel regsvr32 ‘yi kullanarak şüpheli dosya load ediyor
type_id:8001 and operation:1 and event_actor.file.name:excel.exe and process.file.name:regsvr32.exe and ((process.cmd_line:"regsvr32" and process.cmd_line:.ocx) or (process.cmd_line:"regsvr32 -silent ..\celod.wac" or "regsvr32.exe -silent ..\celod.wac*") or (process.cmd_line:"regsvr32 -s *.dll" or process.cmd_line:"regsvr32.exe -s *.dll"))Wscript şüpheli parametrelerle cmd çağıyor
Event Type Id:8001-Process Activity AND Actor File Name:wscript.exe AND Process Name:cmd.exe AND Actor Command Line:*.js* AND Process Command Line:*r32\"*
Regsrv32 şüpheli extension
type_id:8001 AND ( event_actor.file.name:cmd.exe OR event_actor.file.name:regsvr32.exe) AND process.file.name:regsvr32.exe AND process.cmd_line:*.db