LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

  • A+
所属分类:安全新闻
 LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

1

序言
近日,全球IT咨询巨头埃森哲遭到病毒 LockBit 2.0 版本的攻击,6TB数据被盗,2,500台计算机宕机。埃森哲事件再次将 LockBit 拉入大众的视眼,ACSC 报道指出,2021年7月之后在澳大利亚发现了多起 LockBit 病毒及其2.0版本的攻击事件,建筑、制造、零售和食品在内的各个行业的企业系统上被部署LockBit 勒索软件。据趋势科技报道称:在今年7月初到8月中旬,LockBit 2.0对智利、意大利、中国台湾和英国等多个国家展开攻击,该病毒的2.0版本在全球范围内快速的进行传播。由于 LockBit 2.0 在近期内异常活跃,其受害者急剧增加,且针对行业扩大化,造成的危害较严重。国内安全公司应加强警惕,警防成为 LockBit 2.0 的受害者。

微步情报局特对此病毒进行深入研究,针对其 LockBit 1.0、LockBit 2.0和两个版本的样本进行对比分析,客观、全面的剖析 LockBit 病毒的特征,及其版本的差异性。

2
 
  LockBit病毒的发展及其受害者的分布范围
2021年8月12日,LockBit 运营商在其暗网的门户网站发帖,称IT巨头埃森哲已成为最新一家遭到 LockBit 家族袭击的公司。这也是LockBit家族进化到2.0以来最大的一次袭击。LockBit 家族的首次攻击大概出现在2019年的下半年。在传播方式上,LockBit 家族采用自动化的传播方式。执行后,会发送ARP请求,判断其他的设备,并使用SMB协议连接以进行传播。LockBit的主要攻击目标为政府和企业,不过 LockBit 家族会尽量避免去攻击俄罗斯等独联体国家。

在 LockBit 初期,运营商一直再寻找更好的方式来增加收益。随着 Maze 和 REvil 勒索团伙的带动下,LockBit 勒索软件运营商也建立了属于自己的数据泄露网站。LockBit家族也渐渐在业内名声大噪。LockBit 运营商也采取了 Raas 的商业模式来推广自己从产品。将 LockBit 出售给其他的公司或组织,由他们利用这些 LockBit 勒索木马变种进行勒索。从2021年7月份 s2w lab 公布的消息来看,LockBit 勒索软件的排名已经上升到了第一位。随着今年俄罗斯的 xss 关闭,很多勒索软件已转到暗网宣传。LockBit 运营商在暗网上 RAMP 论坛发布了 LockBit  2.0新的推广。据 LockBit 运营商声称,他们使用 StealBit 窃密木马进行数据窃取。据称是可在20分钟内从感染的主机上下载将近100GB的数据。

LockBit 家族主要目标是美国、英国、澳大利亚、墨西哥、日本、德国、奥地利等国家,其主要影响的行业涉及交通、零售、金融、食品等行业。

3

LockBit 病毒样本分析
勒索病毒就像绝症一样,一定要有效防范。如果不幸中招的话,损失钱财是小,关键数据丢失或被公布才是大事。对 LockBit1.0 和 LockBit 2.0 进行简单的样本分析,其中简要说明一下 LockBit 病毒在运行时的主要行为,以及他们的一些编码特点。

3.1 LockBit1.0

以一个 LockBit1.0 典型的样本为例,总结归纳其特点:

首先 LockBit 病毒最明显的特点就是他的勒索信和扩展名了,这部分也是最容易被其他木马所模仿的地方。在被加密的目录中,生成勒索信,被加密的文件扩展名会改变成 Lockbit。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


勒索信中的内容不仅包含勒索的信息,还包含泄密文件的威胁信息。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


LockBit 病毒会对系统桌面进行修改:

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


接下来是对样本代码进行分析:

从代码风格来看,样本是标准的 C++ 编译,且样本具有反调试功能 。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

样本对字符串都进行了异或加密,以某个字符串为例:

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


样本会尝试绕过 UAC,以管理员权限运行。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


样本将自身进程伪装成 explorer.exe。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者
LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

互斥体创建,防止样本多次运行。
LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

通过注册表创建启动项。 

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

修改进程安全描述符,添加防止访问控制项。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


样本遍历进程和服务,结束列表里的进程。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


样本对文件进行遍历后,加密文件,并在目录内释放勒索信。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


样本会采用bcrypt.dll进行加密。如果DLL加载失败,则调用 CryptAcquireContextW 和 CryptGenRandom 来调用调用 Microsoft Base Cryptographic Provider v1. 0并生成32字节的随机数据用作种子。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


3.2 LockBit2.0

LockBit2.0 是近期出现的新版本。该版本在暗网论坛进行宣传,以下是其宣传的帖子部分截图:

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


LockBit 勒索软件2.0版本与1.0版本相同的是都会留下勒索信和改变桌面壁纸,且加密后的文件扩展名是相同的,不同的是勒索信的内容和桌面内容。

LockBit 2.0的勒索信,同样是要求受害者访问他们在暗网的页面:

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

LockBit 2.0 版本与 LockBit 1.0 版本在样本编码方面是不同的,LockBit 2.0 的版本将所有样本内的字符串信息都进行加密处理,并且对其他使用的 DLL 都采用动态加载的方式。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


虽说 LockBit 2.0版本的编码方面有很多改变,但是程序运行的具体流程和LockBit 1.0版本几乎相同,依然会包含以下几个重要步骤,如:权限检测,绕过UAC等操作。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


也会创建互斥体。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


不过2.0会进行系统版本检测,不符合的不会运行。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

设置启动项。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


样本启动线程进行内网扫描。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


在加密方面的流程和 LockBit 1.0 也是相同的。
LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


3.3 LockBit 1.0 和 LockBit 2.0 对比总结

从 LockBit 病毒运行的表面行为来看,LockBit 2.0 版本相比 LockBit 1.0 版本采用了全新的桌面背景和勒索信,且 LockBit 2.0 版本在其勒索信息和桌面背景额外强调了2.0版本。

但由于 LockBit 病毒采用 RaaS 的商业模式,勒索信的内容可能会根据配置的不同有所改变。

从性能方面来看,LockBit 2.0 版本的加密速度远超于 LockBit 1.0 版本。

LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者


LockBit 2.0 采用 StealBit 窃密木马进行窃密,该种专业的窃密软件不仅可以窃取系统内重要的文件信息,还可以窃取系统内的数字货币。

从样本编码方面来看,LockBit 2.0 版本的编码远比 LockBit 1.0 版本的要复杂许多。几乎所有的 API 函数都是通过动态 DLL 加载进行调用。所有使用到的字符串也都经过了加密处理。功能上增加在加密时组织其他进程启动,自动清除网络日志等。

总体来看,LockBit 2.0 版本各方面均优于 LockBit 1.0 版本。

在 LockBit 团队的宣传中,LockBit  2.0版本提供了更多更加丰富的配套服务。如:Tor 网络中的管理面板、自动进行解密测试服务、强大的扫描器等。


4

总结与思考

LockBit 家族由于采用 RaaS 的商业模式进行盈利和扩散,其家族的影响规模和影响力逐渐扩大。随着俄罗斯黑客论坛 XSS 禁止发布有关勒索的帖子,像LockBit 家族这样的勒索家族,都逐渐将宣传转入到暗网中。

现阶段的 LockBit 家族,在样本对抗方面采取了简单的反调试和字符串加密的方式,并不存在高强度的混淆和加密。对于一般的静态扫描,还是很容易识别出 LockBit 家族的。LockBit 病毒运行时会对内网其他设备进行扫描,这部分行为时很容易暴露在其他的监控设备中的,而且扫描和本地加密几乎是同时进行的,如果处置及时可能会挽救部分文件于水火之中。

LockBit 病毒在文件加密算法上采用的是 AES 和 RSA,这就导致被加密的文件是很难被还原的。所以对勒索病毒的防御,预防远远比后期处理更为重要。

 
5

防范措施及处置建议

由于 LockBit 病毒在近期异常活跃,其危害较大,微步情报局从日常防范和发现异常行为两方面提供针对 LockBit 病毒的防范措施与处置建议:

1、在日常生活中,企业及个人如何预防 LockBit 病毒攻击:

企业:

A:应加强员工的培训和安全意识;

B:应及时备份企业重要数据;

C:完善公司内对突发事件的响应;

D:应对邮件系统做好防范,可疑邮件及时处理。

个人:

A:日常要及时备份个人敏感数据:

B:账号密码定期修改;

C:避免多台设备使用重复密码的情况出现。

2、当主机设备检测到异常行为时,我们该如何行动:

A:当发现设备出现大量的内网扫描,应及时处理;

B:当设备被勒索软件加密时,应及时隔离断网;

C:如若收到勒索信息,不要盲目支付赎金,可向专业人士咨询。


- END -

公众号内回复“LO可获取PDF报告。



关于微步在线研究响应团队

微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。


微步情报局由精通木马分析与取证技术、Web 攻击技术、溯源技术、大数据、AI 等安全技术的资深专家组成,并通过自动化情报生产系统、云沙箱、黑客画像系统、威胁狩猎系统、追踪溯源系统、威胁感知系统、大数据关联知识图谱等自主研发的系统,对微步在线每天新增的百万级样本文件、千万级 URL、PDNS、Whois 数据进行实时的自动化分析、同源分析及大数据关联分析。微步情报局自设立以来,累计率先发现了包括数十个境外高级 APT 组织针对我国关键基础设施和金融、能源、政府、高科技等行业的定向攻击行动,协助数百家各个行业头部客户处置了肆虐全球的WannaCry 勒索事件、BlackTech 定向攻击我国证券和高科技事件、海莲花长期定向攻击我国海事/高科技/金融的攻击活动、OldFox 定向攻击全国上百家手机行业相关企业的事件。



内容转载与引用



1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线研究响应中心”


 点个 “在看”,再走哟 ~

本文始发于微信公众号(微步在线研究响应中心):LockBit 病毒肆虐席卷全球,如何避免成为下一个受害者

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: