BLACK BASTA 勒索软件攻击分析
6 月初,据报道Black Basta 勒索软件团伙与QBot 恶意软件行动合作传播他们的勒索软件。当然,这并不是勒索软件团伙第一次与 QBot 合作,将其用作主要分销商。
勒索软件领域的许多“大玩家”之前都做过,包括MegaCortex、ProLock、DoppelPaymer、Conti和Egregor。这些合作伙伴关系在过去已经证明了自己,而 Black Basta 很可能是为了追随大玩家的领先一步,也决定这样做。
QBot 的使用为勒索软件运营商节省了时间。QBot 具有许多对攻击者非常有用的内置功能。其中一些用于执行侦察、收集数据和凭据、横向移动以及下载和执行有效载荷。
在获取凭据并了解网络架构后,攻击者以域控制器为目标,并使用 PsExec 横向移动。一旦成功入侵,攻击者就会“做好准备”并执行旨在避免检测和预防的最终程序。
攻击者在受感染的 DC 上创建组策略对象 (GPO) 以禁用 Windows Defender 并尝试关闭任何防病毒产品。有趣的是,过去在QBot-Egregor 攻击中也观察到了这种技术。
攻击的最后阶段是将勒索软件部署到目标端点。为此,攻击者使用编码的 PowerShell 命令,该命令利用 WMI 将勒索软件二进制文件推送到攻击早期创建的文件C:\Windows\pc_list.TXT中包含的 IP 地址。
BLACK BASTA 勒索软件
Black Basta 勒索软件是攻击的最终有效载荷。与大多数勒索软件一样,它的设计目的是加密机器上的文件,并向用户留下勒索字条。
执行后,勒索软件会使用vssadmin.exe删除系统的虚拟卷影副本, vssadmin.exe是一种管理卷影复制服务 (VSS) 的命令行工具,它捕获并复制稳定的映像以在运行的系统上进行备份。
勒索软件通常使用vssadmin.exe在加密文件之前删除文件的卷影副本和其他备份。这是另一种确保受害者在无法从 VSS 解密或检索到有价值的文件时被迫付费解密的方法:
Cybereason 防御平台中显示的 Black Basta 执行
勒索软件将两个文件放入 %TEMP%:一个是加密文件的图标(名为“fkdjsaDASd.ico”),另一个是用作背景图像的 .jpg 文件(名为“dlaksjdoiwq.jpg”) :
当勒索软件启动其加密程序时,它首先会更改桌面的背景图像,同时遍历文件并对其进行加密。
扩展名“.basta”被添加到加密文件中,恶意软件会在每个文件夹中删除名为“readme.txt”的赎金记录。赎金记录是为受害者定制的,并包含一个唯一的 ID,供受害者在谈判聊天中使用:
黑色巴斯塔壁纸
加密文件和赎金记录
LINUX 版本
6 月初,Black Basta增加了对在企业 Linux 服务器 上运行的VMware ESXi 虚拟机 (VM) 的加密支持。这种策略在不同的勒索软件团伙中广受欢迎,因为它符合他们的企业目标,并且还可以利用单个命令对多个服务器进行更快的加密。这些帮派包括:LockBit、Hive和Cheerscrypt。
执行后,Black Basta 会查找 /vmfs/volumes,如果路径不存在,勒索软件将抛出“错误”-“此系统中不存在路径”并退出:
Black Basta 创建的错误消息
Linux 版本除了以 ESXi 为中心之外,与 Windows 版本有许多相似之处。两种变体在加密期间显示相同的消息:“完成时间:%.4f 秒,加密:%.4f gb”:
变体之间的相似性 – “完成时间”按摩
这两种变体还共享在 Black Basta 中发现的相同唯一字符串:“ERRRRRRRRROr”和“错误 755”:
变体之间的相似性 – “ERRRRRRRRRor”唯一字符串
两种变体赎金记录(readme.txt)是相同的:
人们对新的 Black Basta 知之甚少,因为他们还没有开始营销他们的业务或在黑客论坛上招募附属机构。然而,由于他们能够迅速积累新的受害者,不同的研究人员认为这不是他们的第一次。
网络工程专业主要做什么?有发展前途吗?
网络工程专业主要讲授计算机科学基础理论、计算机软硬件系统及应用知识、网络工程的专业知识及应用知识。 网络工程专业旨在培养具有创新意识,具有本专业领域分析问题和解决问题的能力,具备一定的实践技能,并具有良好的外语应用能力的高级研究应用型专门人才。
网工专业包括哪些领域?
网工专业包括以下专业领域:高等数学、线性代数、概率与统计、离散数学、电路与电子学、数字逻辑电路、数据结构、编译原理、操作系统、数据库系统、汇编语言程序设计、计算机组成原理、微机系统与接口技术、通信原理、通信系统、计算机网络、现代交换原理、TCP/IP原理与技术、计算机网络安全、计算机网络组网原理、网络编程技术、计算机网络管理、网络操作系统、InterNet技术及应用、软件工程与方法学、数字信号处理、网格计算技术、计算机系统结构等。
哪个QQ挂号网最安全
都不安全,挂号后你的QQ密码要小心了呵呵,一般都是为了某中利益而设的挂号网站建议不要去挂号。 接连几日受一款叫作“ShareHelper”(据说是QQ宠物保姆附带插件)的恶意插件骚扰,使用各种清理工具无效,机子更是被拖的奇慢无比。 今晨醒来,又发现QQ密码被盗!(已用手机找回),想起原来使用7年的QQ莫名被盗,忍无可忍!遂发此帖!希望有遇到相同情况的朋友一起发泄下对QQ公司的不满。 原以为是自己不小心,这段时间经常听到朋友反映在打开新浪的网页时会跳出莫名其妙的广告,还以为是新浪被安了恶意代码,昨晚查了不少网上的资料,发现罪魁祸首原来是QQ。 主要症状:系统被拖慢,打开网页时会跳出广告页面(猫扑之类),用卡斯巴基查杀,会发现部分木马插件直指QQ安装程序!暂时还未发现有工具可以直接清理(已试过超级兔子,360安全卫士,优化大师),如果有朋友能提供一劳永逸的解决办法,非常感谢! 网上有分析报告称:腾讯在新版QQ中使用病毒和木马技术 引用自 “新版本的QQ安装时,除了生成QQ正常使用的文件外,还会生成4个额外的病毒文件;同时会在系统注册表中增加一个独立于QQ启动项之外的启动项;该病毒可以采用多种方法实现自我隐藏、自我保护,并使用户根本无法手工删除;该病毒还会自我升级;最恐怖的是,该病毒在QQ卸载后依然会存在于用户的机器中,无法彻底清除。 ” 引用自在网上传出QQ 2005 Beta3版有病毒事件的一周后,一向自大的腾讯终于有些坐不住了,在它的网站上发布了一则官方声明。 这则声明中官腔十足,无甚意义,只是其中有一句话非常引入注目:“……该插件还采用了’动态文件名’技术,以防止一些恶意插件和程序的强行修改和删除……”这句话让我心里涌起了一阵一阵的恶心,腾讯这厮是在把我等普通网民当傻瓜来骗,明明自己做事不地道被大家抓了把柄,还瞎编个“动态文件名技术”这样堂而皇之的名词来粉饰自己,用“防止恶意插件和程序删除”这样可笑的理由来显得自己的无辜和可怜!为了大家不被腾讯的道貌岸然所蒙蔽,让我们先来了解一下究竟什么叫“动态文件名技术”??所谓的“动态文件名技术”,说白了,就是随机产生文件名,早已有网友一针见血的指出:“即便在同一台电脑上,每次安装QQ2005 BETA3,那4个文件的文件名都不相同,使得用户很难找到。 ”我就想不通了,如果真的是一个正常的软件,为什么要不断更改自己的文件名,让大家很难发现,意欲何为??其次,什么样的软件使用“动态文件名技术”??查阅了一些相关资料,发现没有什么正规软件宣称自己使用过这种“动态文件名技术”,包括真的容易被恶意程序攻击的病毒查杀软件、系统安全类软件,所有的正规软件的文件名都是固定的,根本不会轻易改变。 许多软件已经发布了十几个版本了,文件名都没有改动过。 让人触目惊心的是,只有木马病毒才会使用这种“动态文件名技术”。 他们为了不被用户发现,也不被一些杀毒软件发现,每次安装、每次感染、每次重启它们的名字都在不停的变化,让所有的人找不到他的踪迹。 真不知道腾讯是和这些木马病毒不谋而合,还是有意效仿!最后,让我们来思考一下,腾讯使用“动态变名技术”真的是为了“防止恶意插件和程序删除”么?腾讯的说法在逻辑上就有漏洞,即便真如它所说,动态变名是为了“防止恶意插件和程序删除”,那么我倒要反问一句,为什么恶意插件和程序会删除你的软件?为什么它们放着千百个正常软件不删除,放着那么多对它们有威胁的杀毒软件不删除,非要删除你一个和它们不相关的“正常软件”?再退一步,就算恶意插件和程序会删除你的这个程序,那为什么恶意插件和程序就不会删除你的QQ主程序?为什么你不用动态变名技术来保护一下你自己的QQ主程序?让我们每次安装QQ时,看到的不一定是,而可能是甚至是????事实上,保护自己方法有很多种,而文件变名技术是效果最差并且对用户干扰最大的一种,除了病毒以外没有正规软件采用。 使用这种方法既表明了腾讯技术层面的黔驴技穷,也说明所谓的保护自己是其次,不被用户们发现才是其主要目的。 通过上面的分析,我们不难看出,腾讯之所以使用被病毒广泛采用的“动态变名技术”,根本不是为了防止什么“恶意插件和程序的删除”,而是用此方法逃过广大用户的眼睛,在QQ安装时顺便给大家埋下一个不为人知的隐性软件,以实现一些QQ不方便实现的灰色功能(如滥弹广告、收集用户隐私等),达到强奸广大网民的阴险目的!! 以下引用某网友为腾讯的辩解: “技术就是技术!它本身没有错,只是看它用在什么地方,被什么人用,用于什么目的。 像枪支弹药,它既可以被歹徒利用进行抢劫、绑架、勒索,也可以被警察利用保护人民群众的生命安全,打击犯罪。 所以说动态文件名技术不等于病毒!只要有利于用户的使用,腾讯可以使用任何先进技术。 ”可是,我们作为用户,我们当然不希望被人利用“动态文件名”技术来抢劫、绑架我们的电脑;另一方面,我们需要腾讯QQ利用“动态文件名”技术来保护我们的电脑吗?3721之类的恶意插件来整我们的电脑,腾讯”警察”又来未经允许”骚扰民宅”,他们都在我们的电脑时乱整,好不容易请走了这两个瘟神,最后还在各个角落里遗落一些垃圾的,我们作为用户的独立人格到哪里去了?我们用户的电脑就是坏蛋和警察PK的舞台吗?我们用户的电脑就任由你腾讯蹂躏?作为一个从腾讯QQ诞生之日起就一直使用的忠实用户,我一直还记得OICQ刚出来时,我为国内终于有了自己的ICQ式聊天工具的那份高兴,时隔七年,腾讯公司从一家名不见经传的小公司,已经成为了国内知名的大企业,钱包鼓了,腾讯的掌舵人们,你们是不是也走入了一条急功近利的老路呢?多听听我们用户的声音吧!希望你们不要让猪油蒙了眼!
发表评论