背景 Qbot Bank特洛伊木马自2004年被发现至今一直在不断改进。这种偷取信息的恶意软件用以进攻全球各地的政府和企业偷取用户数据和银行凭据，并使用飞速发展的做兼职命令行基础设施建设和反分析技术。 文中介绍JASK特殊性操作（SpecOps）团队如何来源于网络钓鱼攻击分析Qbot故意感柒。

在2019年3月末，探讨人员发现渔叉式网络钓鱼攻击造成了与Qbot感柒有关的恶性事件。在进攻中，攻击者使用当地Windows工具避过传播安全生产技术的检测，以达到安装信息来偷取木马病毒的目的。根据对进攻活动，恶意软件和相关基础设施建设的分析，探讨人员认为该进攻与最新的Qbot进攻活动有关，尤其是在传播措施，第1阶段下载程序和第2阶段恶意软件上。

Qbot感柒的传播措施使用渔叉式网络钓鱼攻击，目标用户接到含有在线文档连接的电子邮箱。

但该新消息是对共有新消息的回应。该技术也用以最新的Emotet活动。

将Qbot恶意软件传播到VBS Dropper的OneDrive连接的新消息 此连接将运行谷歌 谷歌浏览以接入到Microsoft OneDrive以获取含有操作协议书03192019b02.doc.vbs的zip文件，该文件是第1阶段的下载程序。该连接使用谷歌浏览从坐落于ssj5mq [。] bn [。]文件[。] 1drv [。]

Com的远程控制Microsoft OneDrive位置获取ZIP（分析iP 13 [。] 106 [。] 43 [。] 12）文件，vbs文件是第1阶段的下载程序。通过审批Windows恶性事件Id 4688，探讨人员发现了这个过程。

有效载荷分析 阶段2下载在公布期间实行。使用内嵌的Windows BITSAdmin工具（bitsadmin.exe）下载Qbot恶意软件。 BITS代表网站后台智能传输服务，用以管理到web网络服务器或SMB文件共享的文件传送。

 BITS User-Agent字符串查询记录

BITS用户代理商字符串ASOC数据信号逻辑性 August.png（事实上是一个exe文件）是以hxxp: //apps [。]

theandroidstore [。] PTV下载的，也是与Qbot Bank Trojan相关的第2阶段下载。 Winevent日记在受害人设备上提供全部的过程活动，并提供有效负荷获取的直接证据。以下流程活动可以通过Windows恶性事件编码4688日记由命令行活动表示。再此活动中，探讨人员可以看恶意软件的第2阶段储存在重新命名的新文件目录中。

该活动通过在POS机上建立新的计划任务来完成驻留。

攻击者基础设施建设 Qbot进攻活动的Maltego可视化效果如下： Qbot基础设施建设的Maltego可视化效果 国际奥林匹克委员会 Ssj5mq [。]亿[。]文件[。] 1drv [。] Com 13 [。] 106 [。] 43 [。] 12 Hxxp: //apps [。] theandroidstore [。] PTV 223 [] 180 [。] 54 [。] 180 SHA256: 869985182924ca7548289156c * 0612a9f171c7e098b04550dbf62ab8f4ebd9（august.png） 点击查看：htpp://jask.Com/wp-content/uploads/2019/81/Uncovering-Qbot-v6.pdf