研究人員發現，在最近的一次攻擊中，勒索軟件領域的一個新成員利用了一個14年前的惡意軟件變體來幫助它在一個目標網絡上來進行維持權限。

安全咨詢公司NCC集團的研究人員在本周發表的一篇博文中寫道，Black Basta是4月份出現的一個勒索軟件團體，它利用Qbot（又名Quakbot）在被攻擊的網絡中進行橫向移動。研究人員還詳細觀察了Black Basta的運作方式。

NCC集團的安全研究人員在文章中寫道，Qakbot是威脅者用來維持他們在網絡上已獲得的權限的主要方法。

Qbot出現在2008年，這是一個基于Windows的信息竊取木馬，能夠記錄鍵盤，竊取cookies，以及提取網上銀行的相關細節和其他證書。從那時起，它通過不斷的進化，隨著功能的不斷演進，逐漸演變為了高復雜的惡意軟件，其具有巧妙的檢測規避和上下文感知交付策略，以及包括電子郵件劫持在內的網絡釣魚功能等。

相比之下，在網絡犯罪方面，Black Basta相對來講經驗略顯不足。有關該勒索軟件集團攻擊的第一份報告發生在幾個月前。

Black Basta和其他許多同類組織一樣，也會使用雙重勒索攻擊，在部署勒索軟件之前，首先從網絡中竊取出數據。然后，該組織威脅說要在它們的Tor網站上泄露這些數據。

Qbot在攻擊中

勒索軟件集團利用Qbot入侵網絡的做法并不罕見。然而，研究人員說，Black Basta對它的使用方式似乎是非常獨特的。

安全公司YouAttest的安全研究人員說，這種合作所帶來的嚴重破壞性和攻擊效率不能被低估，他在給媒體的一封電子郵件中說，這一發現也提高了現在組織所實行的安全標準。

他們說，NCC集團在注意到C:\Windows\文件夾中一個名為pc_list.txt的文本文件時發現了這次攻擊，該文件存在于兩個被攻擊的域控制器中。

研究人員寫道，這兩個文件都包含了該系統內部網絡上所有的內部IP地址的列表。這樣可以給攻擊者提供一個IP地址列表，以便在部署勒索軟件時將其作為攻擊目標。

研究人員寫道，一旦勒索軟件集團獲得了網絡的訪問權并在C:\Windows\文件夾中創建了PsExec.exe，它就會遠程使用Qbot在目標主機上創建一個臨時服務，該服務其實是使用了regsvr32.exe來執行Qakbot DLL。

為了進行橫向移動攻擊，Black Basta隨后使用了RDP并且部署了一個名為rdp.bat的批處理文件，其中包含啟用RDP登錄的命令行。研究人員說，這使得威脅者能夠在被攻擊的主機上建立遠程桌面會話，即使RDP最初被禁用這也可以進行攻擊。

逃避戰術和勒索軟件的執行方式

研究人員在對該事件的調查中觀察到了Black Basta攻擊的具體特征，包括它是如何逃避檢測以及在被攻擊的系統上執行勒索軟件。

研究人員說，該組織甚至在部署勒索軟件之前就已經開始在網絡上進行惡意攻擊活動，建立Hyper-V服務器的RDP會話，修改Veeam備份工作的配置文件并刪除所托管虛的擬機的備份。然后它會使用WMI（Windows Management Instrumentation）來推送勒索軟件。

在攻擊過程中，勒索軟件還采取了兩個其他步驟作為規避戰術，防止操作系統的檢測以及禁用Windows Defender。一個是在被攻擊的主機上部署批處理腳本d.bat并執行PowerShell命令，另一個是在被攻擊的域控制器上創建一個GPO（組策略對象）。研究人員說，后者將對連接域的主機的Windows注冊表進行更改，從而逃避系統的保護措施。

研究人員發現，一旦它被部署，像許多勒索軟件變種一樣，Black Basta勒索軟件本身，并不加密整個文件。他們寫道，相反，它只對文件進行部分加密。為提高加密的速度和效率，通過對文件中的64個字節塊進行加密。

研究人員說，為了修改文件，該組織還使用了之前生成的RSA加密密鑰，它們被附加到了文件的末尾，以便以后用于解密目的。他們補充說，在成功加密一個文件后，其擴展名會被改為.basta，這將自動將其圖標調整為早期的drop圖標文件。

本文翻譯自：https://threatpost.com/black-basta-ransomware-qbot/179909/如若轉載，請注明原文地址。