4.3　银行木马Qbot的分析与检测

Qbot是一个针对银行的木马，它能迅速扩散到其他主机中。Qbot通常作为勒索软件的传递代理，其中最著名的是作为ProLock和Egregor勒索软件的传播木马。

1. 银行木马Qbot的介绍

Qbot，也称Qakbot或Pinkslipbot，是一种专注于窃取用户数据和银行凭证的银行木马，从2007年开始被频繁使用。随着技术的发展，该恶意软件现在已经包含了新的传播机制、命令与控制（C2）技术以及反分析功能。Qbot的感染通常基于网络钓鱼活动。虽然有些活动直接传播Qbot，但Qbot更多地是作为其他恶意软件（如Emotet）的传播载体。

除了数据和凭证盗取，Qbot还能实现在环境中的横向移动。如果不加以控制，任由Qbot在整个企业中传播，最终会产生勒索软件攻击。据观察，有不同的勒索软件家族会与Qbot同时出现，其中ProLock和Egregor较为常见。因此，当Qbot在企业环境中获得立足点后，企业必须迅速做出响应。

2. 检测：执行esentutl来提取浏览器数据

Qbot窃取敏感信息的一种方式是使用内置程序esentutl.exe，从Internet Explorer和Microsoft Edge提取浏览器数据，如图4-5所示。在防守方检查正常的esentutl命令行时，很少会看到引用Windows\WebCache的情况。编写一个分析程序，用命令行在Windows\ WebCache中查找esentutl.exe进程，这样做有助于捕获不正常行为。

图4-5　通过esentutl.exe窃取浏览器数据