研究人员发现,在最近的一次攻击中,勒索软件领域的一个新成员利用了一个14年前的恶意软件变体来帮助它在一个目标网络上来进行维持权限。
安全咨询公司NCC集团的研究人员在本周发表的一篇博文中写道,Black Basta是4月份出现的一个勒索软件团体,它利用Qbot(又名Quakbot)在被攻击的网络中进行横向移动。研究人员还详细观察了Black Basta的运作方式。
NCC集团的安全研究人员在文章中写道,Qakbot是威胁者用来维持他们在网络上已获得的权限的主要方法。
Qbot出现在2008年,这是一个基于Windows的信息窃取木马,能够记录键盘,窃取cookies,以及提取网上银行的相关细节和其他证书。从那时起,它通过不断的进化,随着功能的不断演进,逐渐演变为了高复杂的恶意软件,其具有巧妙的检测规避和上下文感知交付策略,以及包括电子邮件劫持在内的网络钓鱼功能等。
相比之下,在网络犯罪方面,Black Basta相对来讲经验略显不足。有关该勒索软件集团攻击的第一份报告发生在几个月前。
Black Basta和其他许多同类组织一样,也会使用双重勒索攻击,在部署勒索软件之前,首先从网络中窃取出数据。然后,该组织威胁说要在它们的Tor网站上泄露这些数据。
Qbot在攻击中
勒索软件集团利用Qbot入侵网络的做法并不罕见。然而,研究人员说,Black Basta对它的使用方式似乎是非常独特的。
安全公司YouAttest的安全研究人员说,这种合作所带来的严重破坏性和攻击效率不能被低估,他在给媒体的一封电子邮件中说,这一发现也提高了现在组织所实行的安全标准。
他们说,NCC集团在注意到C:\Windows\文件夹中一个名为pc_list.txt的文本文件时发现了这次攻击,该文件存在于两个被攻击的域控制器中。
研究人员写道,这两个文件都包含了该系统内部网络上所有的内部IP地址的列表。这样可以给攻击者提供一个IP地址列表,以便在部署勒索软件时将其作为攻击目标。
研究人员写道,一旦勒索软件集团获得了网络的访问权并在C:\Windows\文件夹中创建了PsExec.exe,它就会远程使用Qbot在目标主机上创建一个临时服务,该服务其实是使用了regsvr32.exe来执行Qakbot DLL。
为了进行横向移动攻击,Black Basta随后使用了RDP并且部署了一个名为rdp.bat的批处理文件,其中包含启用RDP登录的命令行。研究人员说,这使得威胁者能够在被攻击的主机上建立远程桌面会话,即使RDP最初被禁用这也可以进行攻击。
逃避战术和勒索软件的执行方式
研究人员在对该事件的调查中观察到了Black Basta攻击的具体特征,包括它是如何逃避检测以及在被攻击的系统上执行勒索软件。
研究人员说,该组织甚至在部署勒索软件之前就已经开始在网络上进行恶意攻击活动,建立Hyper-V服务器的RDP会话,修改Veeam备份工作的配置文件并删除所托管虚的拟机的备份。然后它会使用WMI(Windows Management Instrumentation)来推送勒索软件。
在攻击过程中,勒索软件还采取了两个其他步骤作为规避战术,防止操作系统的检测以及禁用Windows Defender。一个是在被攻击的主机上部署批处理脚本d.bat并执行PowerShell命令,另一个是在被攻击的域控制器上创建一个GPO(组策略对象)。研究人员说,后者将对连接域的主机的Windows注册表进行更改,从而逃避系统的保护措施。
研究人员发现,一旦它被部署,像许多勒索软件变种一样,Black Basta勒索软件本身,并不加密整个文件。他们写道,相反,它只对文件进行部分加密。为提高加密的速度和效率,通过对文件中的64个字节块进行加密。
研究人员说,为了修改文件,该组织还使用了之前生成的RSA加密密钥,它们被附加到了文件的末尾,以便以后用于解密目的。他们补充说,在成功加密一个文件后,其扩展名会被改为.basta,这将自动将其图标调整为早期的drop图标文件。
本文翻译自:https://threatpost.com/black-basta-ransomware-qbot/179909/如若转载,请注明原文地址。