勒索病毒组织Black Basta与Windows的零日攻击有关联

近期发现了一个针对Windows的零日漏洞，受到臭名昭著的 Black Basta 勒索软件组织的攻击。这个漏洞被标识为CVE202426169，攻击者利用它在微软发布补丁之前，提升了被攻击系统的权限。

理解零日漏洞及其利用

这个漏洞影响Windows错误报告服务，严重性评级为78，构成了相当大的威胁。它使恶意行为者能够获得SYSTEM权限，从而对受影响的系统进行全面控制。

研究人员发现，Black Basta #勒索软件 组织在错误报告服务中利用了一个最近修复的Windows漏洞CVE202426169，作为零日漏洞被利用。 #网络安全意识

RSK Cyber Security (@RSKCyberSec) 2024年6月13日

微软于2024年3月12日对此关键问题做出了响应，在其补丁星期二活动中发布了更新。尽管在更新时没有立即报告存在积极利用的情况，但后来的网络安全专家的见解表明，该漏洞确实被利用为零日漏洞。

Black Basta如何利用该漏洞

赛门铁克的 调查 揭露了一次勒索软件攻击的尝试，攻击者在首次感染后使用了CVE202426169的利用工具，感染源为DarkGate加载器，这是Black Basta在QakBot被取缔后常用的方法。

攻击者随后部署了伪装成软件更新的批处理脚本，这是一种Black Basta常用的技术。这些脚本执行恶意命令并在目标系统上建立持久性。

该利用工具特别利用了werkernelsys文件管理安全描述符的漏洞，允许未经授权的更改系统注册表。

通过在HKLMSoftwareMicrosoftWindows NTCurrentVersionImage File Execution OptionsWerFaultexe下创建注册表项，并将“Debugger”值更改为其自身的可执行文件，该工具使攻击者能够以SYSTEM权限启动shell，从而完全控制系统。

利用工具版本上的时间戳 一个日期为2024年2月27日，另一个甚至更早，为2023年12月18日 表明该利用工具在微软修复漏洞之前，可能已经准备并使用了长达85天。

如何保持安全

要保护你的系统免受像Black Basta这样的组织的攻击，需要及时采取行动。最有效的步骤是尽快安装最新的Windows安全更新。此外，遵循 CISA的指南 可以帮助你增强防御，确保系统对这样的高级威胁不那么脆弱。

其他阅读

Anas Hasan

2024年6月13日

4个月前

Anas Hassan是一位科技爱好者和网络安全热衷者。他在数字化转型行业拥有丰富的经验。当Anas不在写博客时，他喜欢观看足球比赛。