浅识LockBit3
活动背景
IBM 发布的《威胁情报指数(2022)》报告指出,勒索软件攻击高居网络安全威胁榜首(详情见参考链接2).
自2020 年以来,全球平均勒索软件支付增加了 82%,在 2021 年上半年创下 57 万美元的历史新高,而到 2022 年几乎翻了一番。根据预测,到 2031 年,全球勒索软件勒索活动将达到 2650 亿美元,对全球企业造成的总损失将达到 10.5 万亿美元。勒索软件造成的费用损失将超过自然灾害,并将是信息世界长期存在的威胁。
在过去的几年里,一些高调的勒索团伙活动频繁登上新闻头条,其中,LockBit 团伙更是脱颖而出,成为其中的佼佼者。
什么是勒索病毒
起源、发展与现状
2021年6月该勒索病毒推出了它的更新版本LockBit2.0,并加入了磁盘卷影和日志文件删除等新功能,同时还推出了它的专用窃密木马StealBit,对受害者进行双重勒索攻击。(所谓双重勒索就是既锁住受害者的文件,不给钱就不解密,又偷走重要数据,不给钱就把这些数据泄密出去)。
2022年3月,微软公司发现LockBit2.0存在代码缺陷,可以在不支付赎金的情况下实现文件解密。仅过去3个月,LockBit团伙于2022年6月底发布了3.0版本的勒索木马(又名LockBit Black)并实行了创新性的勒索软件漏洞赏金计划。
LockBit三个版本对比如下:
-
网站Bug: XSS漏洞,mysql注入,获取站点shell等等,将根据Bug的严重程度付费,主要方向是通过Bugs网站获取解密器,以及访问与目标公司的通信。
-
Locker加密错误: 导致文件损坏的任何加密错误或可能在没有解密器的情况下解密文件。
-
绝妙的创意: 我们为创意付费,请写信告诉我们如何改进我们的网站和我们的软件,最好的创意将得到报酬。我们的竞争对手有哪些我们没有的有趣之处?
-
Doxing人肉搜索: 我们为任何能查出本勒索软件联盟组织负责人真实身份的人准备了100万美元酬劳。无论您是联邦调查局特工还是擅长人肉搜索的聪明黑客,您都可以用TOX私信我们,告诉我们老板的名字,并为此获得价值100万美元的比特币或门罗币。
-
TOX messenger: TOX messenger的漏洞,可让您拦截通信、运行恶意软件、确定对话者的IP地址和其他有趣的漏洞。
-
Tor网络: 任何有助于在洋葱域名上获取安装站点的服务器的IP地址的漏洞,以及获得对我们服务器的root访问权限,然后是数据库转储和洋葱域名。
自目前观察到的攻击活动来说,LockBit正如它的“宏愿”一般,成为了自2019年以来世界上最快,最稳定的,最活跃的勒索病毒!
深入了解LockBit3.0
家族画像
|
组织名称 |
LockBit 3.0 |
|
平台 |
针对的主要是Windows、Linux 和 VMware ESXi 服务器,但据称新版本的 LockBit 加密器将可能影响macOS、ARM、FreeBSD、MIPS 和 SPARC CPU。这可能会导致 LockBit 攻击很快大幅增加。 |
|
主要攻击目标 |
金融、服务、制造、建筑、IT、教育行业 |
|
攻击地区 |
主要是美洲、西欧和亚太地区。根据系统语言,排除包括受俄罗斯影响的国家和俄罗斯盟友国家的语言。 |
|
国家归属 |
LockBit 3.0 被认为是由一个精通网络犯罪的组织开发的,该组织可能跨越多个国家。 |
|
攻击向量 |
网络钓鱼、远程访问以及漏洞利用 |
|
武器库 |
Psexec、nmap、Zmap、StealBit、Filezilla、TOX messenger、ADExplorer等等 |
|
典型加密特征 |
除系统必须文件及已启动进程占用文件外,其余文件均被非法加密成后缀为字母与数字随机组合的9位个人ID并在被加密文件当前目录下生成QUh2IBhbp.README.txt勒索信文件。 |
|
解密工具 |
暂未公开解密工具 |
|
侵害模式 |
加密至瘫、勒索、DDoS干扰服务 |
|
勒索信息发布 |
在加密受害者的文件后,通常会留下一个勒索信息文件,这个文件会指导受害者如何支付赎金以恢复数据。如下所示:
|
技战术流
典型攻击事件
|
时间 |
主体方 |
影响 |
|
2021年8月 |
爱尔兰IT咨询公司埃森哲 |
窃取约6 TB数据,要求支付5000万美元赎金 |
|
2022年1月 |
法国泰雷兹集团 |
部分数据被公开;同年11月再次遭受勒索攻击,公开窃取到的约9.5 GB数据 |
|
2022年2月 |
普利司通美洲分公司 |
公司暂停部分工作运营,受害系统数据被窃 |
|
2022年6月 |
美国数字安全公司Entrust |
部分数据被窃取 |
|
2022年7月 |
法国电信运营商La Poste Mobile |
导致部分系统关停,官方网站关停10余天,部分用户信息被公开 |
|
2022年10月 |
巴西利亚银行 |
部分数据被窃取,要求支付50 BTC赎金 |
|
2022年11月 |
德国大陆集团 |
窃取约40 GB数据,要求支付5000万美元赎金 |
|
2022年12月 |
美国加州财政部 |
窃取约76 GB数据 |
|
2023年1月 |
英国皇家邮政 |
国际出口服务中断,约45 GB数据被窃取,要求支付8000万美元赎金部分数据被窃取,要求支付7000万美元赎金 |
|
2023年2月 |
全球电源产品制造商Phihong |
要求受害者支付50万美元的赎金 |
|
2023年5月 |
中国报纸《中国日报》香港分港 |
这是该黑客组织首次对中国企业发起攻击 |
|
2023年6月 |
台积电供应商擎昊科技 |
部分数据被窃取,要求支付7000万美元赎金 |
|
2023年7月 |
日本最大港口名古屋港口码头 |
所有集装箱码头运营均已中断 |
|
2023年8月 |
加拿大蒙特利尔市电力服务委员会 |
窃取约44 GB数据 |
|
2023年10月 |
全球知名IT解决方案供应商CDW |
所要8000万美元的赎金 |
|
2023年11月 |
美国波音航空公司 |
窃取约43 GB数据 |
|
2023年11月 |
中国国有工商银行美国子公司 |
当时中国工商银行美国分行当时被认为是全球资产规模最大的银行 |
|
2024年1月 |
佐治亚州富尔顿县 |
窃取了该县系统的敏感数据 |
|
2024年2月20日 |
英国国家犯罪局NCA |
在国际多部门的联合执法下,开展了代号为“克洛诺斯行动”的专项工作,对LockBit3.0造成了灾难性的打击。 同时,发现新版本LockBit4.0已经在高级开发中。 |
下图为截至2023年,通过对公开报道的LockBit重大勒索事件地统计分析情况:
技术细节
MITRE ATT&CK LockBit3.0 常用技术
|
ATT&CK 战术 |
MITRE技术 |
备注 |
|
初始访问 |
T1659内容注入 |
在经常访问的网站植入恶意代码 |
|
T11909利用面向公众的应用程序 |
利用漏洞访问受害者系统,例如Citrix相关漏洞 |
|
|
T1133利用外部远程服务 |
利用RDP访问受害者网络 |
|
|
T1566网络钓鱼 |
使用网络钓鱼和鱼叉式网络钓鱼访问受害者系统 |
|
|
T1078利用有效账户 |
获取并滥用现有账户的凭据作为获得初始访问权限的手段 |
|
|
执行 |
T1059命令和脚本解释器 |
使用批处理脚本执行恶意命令 |
|
T1072软件部署工具 |
使用Chocolatey命令行包管理器部署 |
|
|
T1569系统服务 |
使用PsExec执行命令 |
|
|
持久化 |
T1547引导或登录自动启动执行 |
启用自动执行 |
|
T1078有效账户 |
使用受损的用户账户来维持目标网络上的持久性 |
|
|
提权 |
T1548滥用提升控制权限机制 |
在UACMe中,使用ucmDccwCOM实现UAC绕过 |
|
T1547利用自动启动执行引导或登录 |
启用自动登录以实现提权 |
|
|
T1484域策略修改 |
为横向移动创建组策略,并可以强制更新组策略 |
|
|
T1078有效账户 |
使用受损的用户账户提权 |
|
|
防御规避 |
T1140 反混淆/解码文件或信息 |
LockBit3.0需要密码才能解密主要组件 |
|
T1070.001 指示器删除:清除 Windows 事件日志 |
LockBit3.0禁用Windows事件日志以逃避检测 |
|
|
T1027 混淆的文件或信息 |
LockBit3.0混淆堆栈字符串使分析变得更加困难 |
|
|
T1027.007 动态 API 解析 |
LockBit3.0通过比较自定义哈希并修改IAT中的存根来动态解析API,使分析变得更加困难 |
|
|
T1562.001 削弱防御:禁用或修改工具 |
LockBit3.0禁用Windows Defender以逃避检测 |
|
|
凭证访问 |
T1110暴力破解 |
利用VPN或RDP暴力破解实现初始访问 |
|
T1555密码存储中的凭证 |
使用PasswordFox获取Firefox浏览器的密码 |
|
|
T1003操作系统凭证转储 |
使用ExtPassword或LostMyPassword用于获取操作系统登录凭证 |
|
|
发现 |
T1614.001 系统位置发现:系统语言发现 |
LockBit3.0检测语言设置来决定是否执行 |
|
T1082系统信息发现 |
枚举系统信息,包括主机名、主机配置、域信息、本地驱动器配置、远程共享和安装的外部存储设备 |
|
|
T1046网络服务发现 |
不会感染语言设置与定义的排除列表相匹配的计算机 |
|
|
横向移动 |
T1021远程服务 |
跨网络横向移动并访问域控制器 |
|
收集 |
T1560存档收集的数据 |
在窃取数据之前使用7-zip来压缩或加密收集的数据 |
|
命令与控制 |
T1071应用层协议 |
使用FileZilla进⾏C2通信 |
|
T10959非应用层协议 |
使用Ligolo从反向连接建⽴SOCKS5或TCP隧道 |
|
|
T1572协议隧道 |
使用Plink在Windows上自动执⾏SSH操作 |
|
|
T12199远程访问软件 |
使用AnyDesk、Atera RMM或 TeamViewer等工具进⾏远程控制 |
|
|
渗透 |
T1020自动渗透 |
使用StealBit自定义渗透⼯具从目标网络窃取数据 |
|
T1567使用Web服务进行渗透 |
使用公开的文件共享服务来窃取目标的数据 |
|
|
影响 |
T1486 数据加密以提高影响力 |
LockBit3.0加密所有目标文件 |
|
T1485数据销毁 |
LockBit3.0用随机生成的数据覆盖文件和目录,使其无法恢复。 |
|
|
T1491污损 |
LockBit3.0将主机系统的壁纸和图标分别更改为LockBit 3.0壁纸和图标,传递消息、恐吓或声称(可能是虚假的)入侵行为 |
|
|
T1490禁用系统恢复 |
LockBit3.0删除卷影副本以防止受害者恢复加密文件 |
|
|
T1489 服务站 |
LockBit3.0停止硬编码配置中列出的进程和服务 |
样本分析
接下来,本文将结合vx-underground中的样本Samples/Families/LockBitRansomware/Samples/Windows and Linux samples/80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce.7z进行分析,展示LockBit3.0勒索病毒的常用技术、程序流程和染病机理。
首先,位于 .text 部分中的存根使用命令行参数获取密码,在执行后会根据传入的“-pass”命令行参数解密执行,没有密码则无法执行,用该手段避免核心功能被分析。
A.利用字符串哈希匹配
自脱壳后,为了重建导入地址表(IAT),LockBit3.0 采用了高度复杂的方法,分为三个阶段:
A. 使用字符串哈希识别系统内存中的 DLL。
B. 通过解析 InLoadOrderModuleList 并比较 API 名称哈希来提取 API 地址。
接下来通过使用未导出函数实现了两种反调试手段:
-
通过NtSetThreadInformation函数将线程信息设置为ThreadHideFromDebugger,实现对调试器的隐藏以干扰研究人员分析
-
第二种则通过对一个关键API打补丁来绕过调试器。
具体检查的语言列表如下,通过其规避的系统,可见Lockbit组织本身具有较强的东欧背景特点。
获得管理员权限后,通过取RSA公钥的MD5,并进行Base64编码,取前8字节作为扩展名,如果有非数字和字母则进行替换(+ x,/ i,= z),在获得随机扩展名后生成ReadMe文件名,然后复制Explorer.exe的令牌,用于之后绕过UAC:
然后样本向C:ProgramData目录下写入HLJkNskOq.ico文件,并且创建注册表来关联所有HLJkNskOq后缀的文件:
关联之后更新Windows 相应设置,使所有HLJkNskOq后缀文件都使用该图标。
在进入勒索加密主函数之前,需要设置Mutex保证只有一个勒索程序运行.接着进入主函数中,首先是关闭一系列服务与程序,
LockBit3.0通过使用Windows API中的TerminateProcess停止进程
LockBit3.0通过使用Windows API中的ControlService 和 DeleteService停止服务
为了阻止从卷影副本中恢复加密文件,LockBit3.0还终止并删除了VSS服务和回收站文件。随后,它利用 WMI 接口消除磁盘的卷影副本。
最后LockBit3.0将主机系统的壁纸和图标分别更改为LockBit 3.0壁纸和图标,传递消息、恐吓或声称(可能是虚假的)入侵行为。
总结
加剧的勒索威胁
据不完全统计,2023年全球勒索软件攻击次数较去年大幅增长,达到4832起,Lockbit以1089次稳居榜首。相较于2022年的2640起,增长幅度惊人。这一增长不仅体现在数量上,更体现在攻击的全球性和蔓延趋势上。其中服务行业、IT行业和制造业成为勒索攻击的主要目标。同时,自2023年以来,我国遭受勒索攻击的频率明显增加。这主要归因于网络攻击技术的不断演进和RaaS(勒索软件即服务)运营模式的成熟,使得即便是技术素养相对较低的不法分子也能轻易参与其中,并成功实施攻击。此外,不断有新的网络犯罪团伙加入勒索生态,漏洞武器化利用速度加快,进一步加剧了勒索攻击的威胁。可以预见,2024年勒索软件将继续保持活跃态势,并可能出现更多针对新兴技术和行业的攻击。
防护体系建设
-
资产梳理与分级分类管理。建立完整的资产清单,识别内部系统与外部第三方系统间的连接关系,尤其是域合作伙伴共享控制的区域,降低勒索软件从第三方系统进入的风险;
-
严格访问控制策略。创建防火墙规则,仅允许特定的 IP 地址访问;限制可使用 RDP 的用户为特权用户;设置访问锁定策略,调整账户锁定阈值与锁定持续时间等配置;为管理员级别和更高级别设置的账户实施基于时间的访问;
-
做好身份验证管理。设置复杂密码,并保持定期更换登录口令习惯;多台机器,切勿使用相同的账号和口令;启用多因素身份验证 (MFA) ;
-
提高人员安全意识。及时更新系统补丁,定期检查、修补已知的 RDP 相关漏洞;切勿打开未知来源的文件,从正规途径下载程序安装包;
-
备份重要数据和系统。在物理上独立安全的位置(即硬盘驱动器、存储设备、云)维护和保留敏感或专有数据的多个副本
-
共享威胁情报。使用网络安全设备或组件阻断相关指示器;使用沙盒分析来阻止恶意文件执行;
-
文件扩展名检测。借助文件访问监控工具,将勒索软件的扩展名文件重命名操作列入黑名单;
-
采用蜜罐文件。在共享文件夹 / 位置放置虚假诱饵文件并以警报通知文件打开情况;
-
配备安全防护工具。检测系统中存在可疑工具;监控可疑网络端口、协议和服务;识别授权和未授权的设备和软件;对事件和事件日志进行审核
-
隔离网络。将感染病毒的机器断开互联网连接,视情况切断网络内不必要的网络连接,避免网络内其他机器被进一步感染渗透;
-
分类处置。当重要文件尚未被加密时,应立即终止勒索软件进程或关闭机器,及时止损;
-
及时报告。及时报告网络管理员,通知其他可能会受到勒索软件影响的人员,造成重大影响时,及时向网络安全主管部门报告;
-
排查加固。排查勒索软件植入途径;及时堵塞漏洞、尽快对网络内机器进行全面漏洞扫描和安全加固;
-
专业恢复。联系专业公司和人员进行数据和系统恢复工作。
|
IOC |
|
|
MD5 |
2d8b6275dee02ea4ed218ba2673b834e |
|
97c07d03556ddcfc8ebfa462df546eb5 |
|
|
45dfdde3df07b6ccc23b7ae6e3dc1212 |
|
|
77c5fb080bf77f099c5b5f268dcf4435 |
|
|
738bee5280d512a238c3bb48c3278f63 |
|
|
7b74e4fb9a95f41d5d9b4a71a5fe40b9 |
|
|
f9ab1c6ad6e788686509d5abedfd1001 |
|
|
1690f558aa93267b8bcd14c1d5b9ce34 |
|
|
5e54923e6dc9508ae25fb6148d5b2e55 |
|
|
74a53d9db6b2358d3e5fe3accf0cb738 |
|
|
4d388f95a81f810195f6a8dfe86be755 |
|
|
87308ec0a44e79100db9dbec588260ec |
|
|
4655a7ac60ed48df9b57648db2f567ef |
|
|
23a30838502f5fadc97e81f5000c4190 |
|
|
b026ae1a3962e6d9e5e468f29197c990 |
|
|
URL |
hxxp://ppaauuaa11232[.]cc/dlx5rc.dotm |
|
hxxp://ppaauuaa11232[.]cc/aaa.exe |
|
|
hxxp://188.34.187[.]110/dd.ps1 |
|
|
hxxp://188.34.187[.]110/cc.ps1 |
|
|
hxxp://188.34.187[.]110/cc.ps1 |
|
|
IP |
172.232.146[.]250 |
|
199.115.112[.]149 |
|
|
159.65.216[.]150 |
|
|
185.193.125[.]59 |
|
|
133.226.170[.]154 |
|
|
45.32.88[.]116 |
|
|
107.181.187[.]184 |
|
|
45.67.191[.]147 |
|
|
139.60.160[.]200 |
|
|
93.190.139[.]223 |
|
|
45.227.255[.]190 |
|
|
193.162.143[.]218 |
|
|
168.100.11[.]72 |
|
|
93.190.143[.]101 |
|
|
88.80.147[.]102 |
|
|
193.38.235[.]234 |
|
|
174.138.62[.]35 |
|
|
185.215.113[.]39 |
|
|
185.182.193[.]12 |
http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion
http://lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv413az13gy6pyd.onion
http://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onion
http://lockbitapt5x4zkjbcqmz6frdhecqqgadevyireqxukksspnlidyvd7qd.onion
http://lockbitaptovx57t3eecijofwgcglmutr3a35nygvokja5uuccip4ykyd.onion
http://lockbitapt72i0,55njgnqpymggskg5yp75ry7rirtdg4m7i42artsbqd.onion
http://lockbitaptawjloudhpd323uehektyatjoftcxmkweSsers4fqgpjpid.onion
http://lockbitaptbdiajqtplcrigzgdjprwugkkut63nbvy2d5r4w2agyekqd.onion
关于山石网科情报中心
山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。
原文始发于微信公众号(山石网科安全技术研究院):勒索病毒家族lockbit的前世今生
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论