全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

admin 2021年8月19日02:05:45评论111 views字数 3546阅读11分49秒阅读模式

全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

文章来源:红数位

臭名昭著的LOCKBIT 2.0勒索软件组织在过去几个月非常活跃,与该勒索软件相关联的威胁参与者 (TA) 使用勒索软件即服务 (RaaS) 业务模型。LOCKBIT 2.0开发人员根据其附属机构的需求定制勒索软件变体,他们还提供各种面板和攻击统计数据,为其附属机构提供受害者管理功能。


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析


我们近期报道了:全球财富500强咨询公司埃森哲遭遇LOCKBIT 2.0勒索攻击,昨天我们还发现了LOCKBIT 2.0张贴了中国领先的软件和信服技术服务公司软通动力疑似被勒索条目,目前截止发稿前倒计时即将结束,不排除LOCKBIT 2.0团队即将放出被盗数据。


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

2021第一季度LOCKBIT 2.0排名勒索第三名


该恶意软件使用双重勒索技术迫使受害者支付赎金。通过这种技术,攻击者可以窃取受害者的数据,然后他们继续加密受害者系统上的数据。数据加密之后是要求赎金以换取解密器。如果受害者拒绝或无法支付赎金,他们就会威胁泄露数据。该勒索软件以前称为ABCD勒索软件,因为用于加密文件的文件扩展名为 .abcd,现在这个勒索软件使用的扩展名是 .lockbit。   


图1显示了在TOR网络中托管博客的LOCKBIT 2.0勒索软件团伙。他们特别使用此博客来分享受害者列表和攻击者从受影响系统中窃取的样本数据的屏幕截图。  


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图1:LOCKBIT 2.0博客显示受害者公司列表


与其他最近出现的RaaS团伙一样,LOCKBIT 2.0也有一个联盟计划来吸引潜在的联盟。图2显示了联盟计划页面。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图2:LOCKBIT 2.0伙伴计划


与其竞争对手RaaS团伙相比,LockBit正试图将自己定位为最快的加密器。他们列出了对100GB、10TB等数据集进行加密所花费的时间。图3显示了 LOCKBIT 2.0 与其他勒索软件团伙的比较。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图3:LOCKBIT 2.0与其他勒索软件团伙的比较


此外,这个勒索软件团伙在以前属于苏联的国家/地区不起作用。该团伙还使用StealBIT、Metasploit Framework和Cobalt Strike等工具。  


StealBIT是该团伙用于数据泄露的信息窃取程序。Metasploit Framework和Cobalt Strike 是渗透测试工具,用于模拟对复杂网络的针对性攻击。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图4:LOCKBIT 2.0共享的其他附属详细信息


技术分析 


我们对勒索软件的静态分析表明,该恶意软件文件是在2021-07-26 13:04:01编译的Windows x86架构图形用户界面 (GUI) 可执行文件 ,如图5所示。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图5:关于LOCKBIT 2.0 Ransomware的静态信息


我们还发现恶意软件只使用了几个库,如图 6 所示。  


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图6:勒索软件使用的库


此外,勒索软件导入表中只有少数应用程序编程接口 (API),如图 7 所示。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图7:导入表API列表 


图8显示勒索软件对用户文档文件进行了加密,并为其附加了 .lockbit 扩展名,同时还更改了所有加密文件的图标。此外,勒索软件还会在多个文件夹中放置勒索信。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图8:勒索软件加密后的加密文件和勒索信 

 

图9显示了勒索信的内容,其中指示受害者如何联系勒索软件团伙。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图9:赎金记录的内容 


勒索软件还会篡改桌面背景壁纸,显示额外的勒索软件帮派信息,如下图。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图10:LOCKBIT 2.0篡改桌面壁纸


为了进一步了解勒索软件,我们检查了恶意软件中存在哪些字符串符号。 


图11显示了恶意软件中存在的初始字符串的详细信息。这些字符串表明恶意软件可以使用轻量级目录访问协议 (LDAP) 查询 Active Directory 域中的连接系统。在查询字符串中,CN代表Common Name,OU代表Organization Unit,DC代表Domain Component。该信息可用于发现其他链接的网络和系统。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图11:为Microsoft Active Directory设置LDAP参数


如图12所示,勒索软件可以使用PowerShell命令查询DC以获取计算机列表。一旦收到列表,恶意软件就可以在列出的系统上远程调用GPUpdate命令。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图12:用于搜索网络中计算机的PowerShell命令


此外,勒索软件还会检查其他挂载的硬盘驱动器、网络共享驱动器、VM共享文件夹,并使用taskkill.exe删除正在运行的进程 ,如图12所示。 


图13描述了勒索软件可以将活动目录环境中的策略更新推送到其他连接的系统。为了逃避检测,勒索软件还可以在正在运行的系统和远程系统上禁用Windows Defender。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图13:勒索软件更改了Windows Defender策略


在运行勒索软件时,我们观察到它会将自身注入dllhost.exe, 如图14所示。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图14:勒索软件感染dllhost.exe


勒索软件将其执行文件夹添加到系统变量的路径中,如图15所示。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图15:恶意软件在系统路径中添加了其当前工作目录


图16显示了勒索软件正在寻找各种正在运行的服务,例如备份服务、数据库相关应用程序以及图15中所示的其他应用程序。如果发现系统中正在运行任何服务,勒索软件就会将其杀死。勒索软件使用OpenSCManager和OpenServiceA, 如图16所示。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图16:勒索软件搜索服务


下表显示了勒索软件搜索的其他服务列表:


DefWatch  RTVscan  tomcat6 
ccEvtMgr  sqlbrowser  zhudongfangyu 
SavRoam  SQLADHLP  vmware-usbarbitator64 
Sqlservr  QBIDPService  vmware-converter 
sqlagent  Intuit.QuickBooks.FCS  dbsrv12 
sqladhlp  QBCFMonitorService  dbeng8 
Culserver  msmdsrv  MSSQL$MICROSOFT##WID 
MSSQL$KAV_CS_ADMIN_KIT  MSSQLServerADHelper100  msftesql-Exchange 
SQLAgent$KAV_CS_ADMIN_KIT  MSSQL$SBSMONITORING  MSSQL$SHAREPOINT 
MSSQLFDLauncher$SHAREPOINT  SQLAgent$SBSMONITORING  SQLAgent$SHAREPOINT 
MSSQL$VEEAMSQL2012  QBFCService  QBVSS 
SQLAgent$VEEAMSQL2012  YooBackup  YooIT 
SQLBrowser  vss  SQL 
SQLWriter  svc$  PDVFSService 
FishbowlMySQL  MSSQL  memtas 
MSSQL$MICROSOFT##WID  MSSQL$  mepocs 
MySQL57  sophos  veeam 
MSSQL$MICROSOFT##SSEE  backup  MSSQLFDLauncher$SBSMONITORING 


勒索软件创建了一个共享文件夹,供VMWare传播到其他系统,如图17所示。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图17:勒索软件创建VMWare共享文件夹并删除示例 


LOCKBIT 2.0的加密操作与我们在其他勒索软件组中观察到的类似。操作流程如下所示。 


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

图18:常见的加密操作 


结论 


LOCKBIT 2.0是一种高度复杂的勒索软件形式,它使用各种最先进的技术来执行勒索软件操作。


全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析


当前和潜在的LOCKBIT 2.0受害者跨越多个领域,从 IT、服务到银行。我们的研究表明,该组织的附属机构会将该勒索软件投放到已经受到攻击的网络中。  


我们的建议 


我们列出了一些基本的网络安全最佳实践,这些实践创建了针对攻击者的第一道控制线。我们建议我们的读者遵循以下建议: 


  • 尽可能使用强密码并强制执行多因素身份验证。 

  • 尽可能以务实的方式在您的计算机、移动设备和其他连接的设备上打开自动软件更新功能。  

  • 在您连接的设备上使用知名的防病毒和互联网安全软件包。     

  • 避免在未验证其真实性的情况下打开不受信任的链接和电子邮件附件。 

  • 执行定期备份实践并将这些备份保持离线或在单独的网络中。 


妥协指标 (IoC):


  • 指标:

    0545f842ca2eb77bcac0fd17d6d0a8c607d7dbc8669709f3096e5c1828e1c049 


  • 哈希 :

    SHA-256 

精彩推荐
全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析








男子假扮暗网黑客骚扰前女友发死亡威胁:为逼迫其离开现男友



全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析




行程卡又崩了?网友:不认短信只认绿码




全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析




诊疗系统瘫痪 西安警方侦破一起破坏医院计算机信息系统案



全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析



多一个点在看

全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

多一条小鱼干

本文始发于微信公众号(黑白之道):全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年8月19日02:05:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   全球多家大公司中招!!!近日疯狂肆虐的勒索软件LOCKBIT2.0深入分析http://cn-sec.com/archives/464385.html

发表评论

匿名网友 填写信息