合作,研究人员发现,在最近的一次攻击中,勒索软件领域的新成员利用一个已有14年历史的恶意软件变体来帮助它渗透目标网络。维护权限。安全咨询公司NCCGroup的研究人员本周在一篇博文中写道,4月份出现的勒索软件组织BlackBasta使用Qbot(又名Quakbot)在受感染的网络中横向移动。研究人员还详细研究了BlackBasta的运作方式。在文章中,来自NCCGroup的安全研究人员写道,Qakbot是威胁参与者用来维护他们在网络上获得的特权的主要方法。Qbot于2008年推出,是一种基于Windows的信息窃取木马,能够记录击键、窃取cookie以及提取在线银行详细信息和其他凭据。从那时起,随着其功能的不断发展,它通过不断的发展演变为高度复杂的恶意软件,具有巧妙的检测规避和上下文感知交付策略,以及包括电子邮件劫持等在内的网络钓鱼功能。相比之下,BlackBasta在涉及网络犯罪方面相对缺乏经验。有关勒索软件组织发起攻击的首份报告是在几个月前发布的。BlackBasta与许多其他同类软件一样,也使用双重勒索攻击,在部署勒索软件之前首先从网络中窃取数据。该组织随后威胁要泄露其Tor网站上的数据。攻击中的Qbot勒索软件组织使用Qbot渗透网络的情况并不少见。然而,研究人员表示,BlackBasta使用它的方式似乎非常独特。安全公司YouAttest的安全研究人员表示,这种合作的严重破坏和攻击效率不可低估,并在给媒体的电子邮件中表示,这一发现也改进了安全组织现在的做法。标准。他们说,NCCGroup在C:\Windows\文件夹中发现一个名为pc_list.txt的文本文件时发现了这次攻击,该文件存在于两个受感染的域控制器上。研究人员写道,这两个文件都包含系统内部网络上所有内部IP地址的列表。这为攻击者提供了一个IP地址列表,以便在部署勒索软件时将其作为目标。一旦勒索软件组获得网络访问权限并在C:\Windows\文件夹中创建PsExec.exe,它就会远程使用Qbot在目标主机上创建一个临时服务,该服务本质上是一个regsvr32.exe,用于执行QakbotDLL.为了进行横向移动攻击,BlackBasta随后使用RDP并部署了一个名为rdp.bat的批处理文件,其中包含一个命令行以启用RDP登录。研究人员表示,这允许威胁行为者在受感染的主机上建立远程桌面会话,即使RDP最初是禁用的。规避策略和勒索软件的执行方式研究人员在调查事件期间观察了BlackBasta攻击的具体特征,包括它如何逃避检测和在受感染的系统上执行勒索软件。研究人员表示,甚至在部署勒索软件之前,该组织就开始在网络上进行恶意活动,与Hyper-V服务器建立RDP会话,修改Veeam备份作业的配置文件,并删除托管虚拟机的备份。然后它使用WMI(WindowsManagementInstrumentation)来推送勒索软件。在攻击过程中,勒索软件还采取了另外两个规避策略,阻止操作系统检测并禁用WindowsDefender。一种是在被攻击主机上部署批处理脚本d.bat并执行PowerShell命令,另一种是在被攻击域控制器上创建GPO(GroupPolicyObject)。研究人员说,后者会更改域连接主机的Windows注册表,从而逃避系统的保护措施。研究人员发现,一旦部署,BlackBasta勒索软件本身与许多勒索软件变体一样,不会加密整个文件。相反,它只对文件进行部分加密,他们写道。为了提高加密的速度和效率,通过加密文件中的64字节块。研究人员表示,为了修改文件,该组织还使用了之前生成的RSA加密密钥,这些密钥被附加到文件的末尾以供日后解密之用。他们补充说,文件加密成功后,其扩展名会更改为.basta,它会自动将其图标调整为较早的下拉图标文件。本文翻译自:https://threatpost.com/black-basta-ransomware-qbot/179909/如有转载请注明出处。
