研究人員發(fā)現(xiàn)，在最近的一次攻擊中，勒索軟件領域的一個新成員利用了一個14年前的惡意軟件變體來幫助它在一個目標網(wǎng)絡上來進行維持權限。

安全咨詢公司NCC集團的研究人員在本周發(fā)表的一篇博文中寫道，Black Basta是4月份出現(xiàn)的一個勒索軟件團體，它利用Qbot（又名Quakbot）在被攻擊的網(wǎng)絡中進行橫向移動。研究人員還詳細觀察了Black Basta的運作方式。

NCC集團的安全研究人員在文章中寫道，Qakbot是威脅者用來維持他們在網(wǎng)絡上已獲得的權限的主要方法。

Qbot出現(xiàn)在2008年，這是一個基于Windows的信息竊取木馬，能夠記錄鍵盤，竊取cookies，以及提取網(wǎng)上銀行的相關細節(jié)和其他證書。從那時起，它通過不斷的進化，隨著功能的不斷演進，逐漸演變?yōu)榱烁邚碗s的惡意軟件，其具有巧妙的檢測規(guī)避和上下文感知交付策略，以及包括電子郵件劫持在內(nèi)的網(wǎng)絡釣魚功能等。

相比之下，在網(wǎng)絡犯罪方面，Black Basta相對來講經(jīng)驗略顯不足。有關該勒索軟件集團攻擊的第一份報告發(fā)生在幾個月前。

Black Basta和其他許多同類組織一樣，也會使用雙重勒索攻擊，在部署勒索軟件之前，首先從網(wǎng)絡中竊取出數(shù)據(jù)。然后，該組織威脅說要在它們的Tor網(wǎng)站上泄露這些數(shù)據(jù)。

Qbot在攻擊中

勒索軟件集團利用Qbot入侵網(wǎng)絡的做法并不罕見。然而，研究人員說，Black Basta對它的使用方式似乎是非常獨特的。

安全公司YouAttest的安全研究人員說，這種合作所帶來的嚴重破壞性和攻擊效率不能被低估，他在給媒體的一封電子郵件中說，這一發(fā)現(xiàn)也提高了現(xiàn)在組織所實行的安全標準。

他們說，NCC集團在注意到C:\Windows\文件夾中一個名為pc_list.txt的文本文件時發(fā)現(xiàn)了這次攻擊，該文件存在于兩個被攻擊的域控制器中。

研究人員寫道，這兩個文件都包含了該系統(tǒng)內(nèi)部網(wǎng)絡上所有的內(nèi)部IP地址的列表。這樣可以給攻擊者提供一個IP地址列表，以便在部署勒索軟件時將其作為攻擊目標。

研究人員寫道，一旦勒索軟件集團獲得了網(wǎng)絡的訪問權并在C:\Windows\文件夾中創(chuàng)建了PsExec.exe，它就會遠程使用Qbot在目標主機上創(chuàng)建一個臨時服務，該服務其實是使用了regsvr32.exe來執(zhí)行Qakbot DLL。

為了進行橫向移動攻擊，Black Basta隨后使用了RDP并且部署了一個名為rdp.bat的批處理文件，其中包含啟用RDP登錄的命令行。研究人員說，這使得威脅者能夠在被攻擊的主機上建立遠程桌面會話，即使RDP最初被禁用這也可以進行攻擊。

逃避戰(zhàn)術和勒索軟件的執(zhí)行方式

研究人員在對該事件的調(diào)查中觀察到了Black Basta攻擊的具體特征，包括它是如何逃避檢測以及在被攻擊的系統(tǒng)上執(zhí)行勒索軟件。

研究人員說，該組織甚至在部署勒索軟件之前就已經(jīng)開始在網(wǎng)絡上進行惡意攻擊活動，建立Hyper-V服務器的RDP會話，修改Veeam備份工作的配置文件并刪除所托管虛的擬機的備份。然后它會使用WMI（Windows Management Instrumentation）來推送勒索軟件。

在攻擊過程中，勒索軟件還采取了兩個其他步驟作為規(guī)避戰(zhàn)術，防止操作系統(tǒng)的檢測以及禁用Windows Defender。一個是在被攻擊的主機上部署批處理腳本d.bat并執(zhí)行PowerShell命令，另一個是在被攻擊的域控制器上創(chuàng)建一個GPO（組策略對象）。研究人員說，后者將對連接域的主機的Windows注冊表進行更改，從而逃避系統(tǒng)的保護措施。

研究人員發(fā)現(xiàn)，一旦它被部署，像許多勒索軟件變種一樣，Black Basta勒索軟件本身，并不加密整個文件。他們寫道，相反，它只對文件進行部分加密。為提高加密的速度和效率，通過對文件中的64個字節(jié)塊進行加密。

研究人員說，為了修改文件，該組織還使用了之前生成的RSA加密密鑰，它們被附加到了文件的末尾，以便以后用于解密目的。他們補充說，在成功加密一個文件后，其擴展名會被改為.basta，這將自動將其圖標調(diào)整為早期的drop圖標文件。

本文翻譯自：https://threatpost.com/black-basta-ransomware-qbot/179909/如若轉(zhuǎn)載，請注明原文地址。