技术实践 | 勒索病毒专项技术研究

全文共7421字，阅读大约需16分钟

一、勒索病毒的起源、发展及演变

早在1989年，美籍生物博士Joseph Popp开发和传播被称为“AIDS Trojan”或“PC Cyborg Trojan”的病毒，这是可追溯到的第一款勒索病毒（Ransomware）。Popp博士通过邮寄软盘的方式传播AIDS Trojan。这些软盘被标注为“艾滋病信息磁盘”，声称包含关于艾滋病的信息，吸引接收者运行其中的程序，对系统文件进行替换。

AIDS Trojan会在启动后进行倒计时，经过90次系统重启后，病毒会激活并开始加密文件。它采用了一种对称加密算法，对C盘中的所有文件进行加密。一旦文件被加密，病毒会显示一条勒索信息，要求受害者支付189美元（或377美元的“企业版”赎金）到一个位于巴拿马的邮政信箱，以获取解密密钥。

病毒主要针对与艾滋病研究相关的科学家和研究机构。Popp博士将大约2万个软盘邮寄给全球的这些人员。但由于传播手段（邮寄软盘）的局限性，感染规模有限。但这一事件引起了广泛的社会关注和恐慌，使得计算机安全问题开始受到重视。

勒索病毒（Ransomware）是一种恶意软件。它通过攻击并加密受害者的文件或锁定其计算机系统，然后要求支付赎金以换取密钥或解锁访问权限。

勒索病毒的绝大部分目的是索要解锁赎金，直接获取经济利益。随着技术的发展，勒索病毒变得越来越复杂，传播方式也更加多样化。勒索病毒通常采用强加密算法，使得受害者在不支付赎金的情况下难以恢复被加密的数据或系统。

这种压倒性的优势最终使得受害者陷入进退两难的境地。要么接受系统几乎被摧毁的损失，要么乖乖交钱平事。（有时候交了钱也不一定解密，反而会继续变本加厉的进行二次勒索。真可谓“盗亦无道”，毫无节操。）

勒索病毒（Ransomware）从诞生到现在的二十多年，其发展经历了多个阶段，从最初的简单加密工具到如今复杂的勒索即服务（RaaS）平台。

以下是勒索病毒发展的4个重要阶段：

演变过程中的部分典型勒索病毒如下：

以下是勒索病毒在不同阶段中的进化特点：

传播方式：从软盘传播发展到通过电子邮件、恶意广告、远程桌面协议、漏洞利用工具包和社工、供应链污染等多种技术和手段进行传播和感染，增加了传播效率和范围。

加密技术：从最初的简单对称加密发展到复杂的非对称加密（RSA、AES），提高了加密强度和破解难度。

勒索方式：从邮政信箱支付赎金发展到使用匿名加密货币（如比特币、以太坊、门罗币等）支付，提高了追踪难度和攻击者的匿名性。

自动化与定制化：现代勒索软件如LockBit和Ryuk，采用自动化和定制化攻击策略，针对性强，传播迅速，影响广泛。

现阶段勒索病毒的主要攻击模式：

我们通常会将勒索病毒的攻击过程有序的切分为：事前、事中、事后三个阶段。三个阶段过程中的目的和详情如下：

事前：通过多样性的手法获取被攻击系统的基本权限，达到侵入环境的目的。

常见的方式如下：

事中：基于上一阶段拿到的立足点，并通过权限提升、横向移动、免杀/逃逸等技术手段获取更多机器的控制权限，扩大影响范围，达到横移和扩面最终完全获得组织管理权的目的。

常见的方式如下：

事后：通过多样性的手法获取被攻击系统的基本权限，达到侵入环境的目的。

常见的方式如下：

二、勒索病毒之王--LockBit

LockBit可谓是近几年经常占据各大新闻头条的勒索软件家族了，自2019年首次被发现以来就注定了它的不平凡。

近2年最知名的几个攻击事件如下：

◾ 2023年11月8日，中国工商银行在美全资子公司（ICBCFS），受到LockBit3.0勒索软件组织攻击。此次攻击导致部分系统中断，暂时拖欠纽约梅隆银行90亿美元的未结算交易。

◾ 2024年2月，LockBit在遭受FBI联合多个英美等国执法部门的“Cronos行动”致命打击后，在不到一周的时间内死灰复燃，重新启动了勒索软件业务，公布了新的数据泄露站点，并威胁将把更多西方政府部门放入攻击名单。

◾ 2024年6月23日20:27（UTC时间），LockBit宣称入侵美联储系统，窃取了33TB的金融信息，其中包含“美国金融业的秘密”。

自诞生到现在，已经经历了多个版本的演变。并以其高效的加密速度和自动化攻击能力而闻名，对各类机构组织、政府构成了严重威胁，是名之无愧的“当红炸子鸡”。

LockBit演变时间线总结如下：

从1.0版本到3.0版本演变的过程中，LockBit持续对其自身代码在系统防御的逃逸/绕过能力上进行迭代和更新，狡猾的引入了更多高级的反调试和混淆技术。

通过逆向分析和TTPs拆分比对，发现有许多值得探讨的点。如下表所示：

关键技术点分析如下：

反调试技术是一种用来检测和防止调试工具分析和干扰恶意软件的技术。恶意软件利用这些技术来隐藏其行为，增加分析难度，从而提高成功感染和执行的机会。LockBit采用了多种反调试技术来保护其代码和操作。

1）利用NtGlobalFlag函数反调试

通过FS寄存器查找PEB，获取偏移0x68位置的NtGlobalFlag字段中的值和0x70进行比较，如果判断相等，说明处于调试状态，样本将进入循环。

2）利用NtSetInformationThread函数反调试

通过调用NtSetInformationThread传递ThreadHideFromDebugger参数，线程可以被隐藏，使调试器无法检测到该线程的存在。

代码混淆是一种常用于保护软件的技术，通过使代码变得难以阅读和理解，从而增加逆向工程的难度。代码混淆广泛应用于恶意软件和商业软件中，通过使用代码混淆，LockBit大大提高了其恶意代码的隐蔽性和抗分析性，从而增强了其攻击效果和生存能力。

1）堆栈字符串混淆

将字符串gdiplus.dll编码后存入数组，使用时异或0x7D解码调用，这种方法通过在二进制文件中存储编码后的字符串，可以有效地隐藏字符串信息，防止静态分析工具检测到明文字符串，从而提高恶意软件的隐蔽性。

2、API Hashing

通过PEB获取模块列表，遍历模块导出表，将每个API名称进行哈希处理，可以避免在恶意软件的二进制文件中出现明文字符串。这使得静态分析工具难以识别和检测恶意软件使用的API调用，从而提高恶意软件的隐蔽性。

LockBit勒索软件在其版本更新过程中，对数据配置方式进行了显著的进化，逐步从硬编码转向了更灵活和安全的配置方式。这种演变提高了操作的隐蔽性和复杂性。

1）数据硬编码

在LockBit1.0中，将想要终止的服务列表进程列表以硬编码字符串方式写入二进制文件中，无任何加密混淆。

2）数据配置化

和1.0版本对比，2.0之后将要停止的服务列表和进程等配置数据编码后静态存储在可执行文件中。

通过地址偏移、长度、异或密钥可以得到解码后的数据。

此外，在泄露的LockBit3.0构建器中，可以查看完整的配置文件。该配置文件包括详细的服务和进程列表，这些列表会在感染过程中被终止。同时，构建器还包含其他配置选项，如白名单列表、网络横移和清除日志等。

三、LockBit勒索TTPs分解和向量重构模拟

在研究LockBit勒索病毒的过程中，我们先通过逆向分析、动态调试和虚拟化等技术对它进行了行为代码静态分解、阶段性动作复现和攻防知识组合分析。

并通过无害化的手法，在不同的操作系统上重构模拟其关键行为，最后形成了一套相对丰富完整的攻击向量和编排集合。

在对LockBit全版本做TTP(Tactics、Tachniques、Procedures)分析时，主要聚焦于以下2点：

◾ 工具集分析

◾ MITRE ATT&CK Enterprise战术和技术

LockBit多个版本在攻击过程中，使用了许多比较高明的手段，组合式的将各类合法软件、系统工具、黑客工具、特征技巧等元素结合在一起，巧妙的完成其攻击连。

具体体现在以下这些方面：

1）利用热门的软件漏洞

LockBit利用多个应用程序漏洞进入受害者网络包括log4j、Citrix、F5 BigIP和FortiOS等产品，涉及有直接代码执行，未授权访问和用于系统提权。

例如，以Citrix设备CVE-2023-4966漏洞为入口点（据传ICBCFS因此洞被开口），发送数据包访问url/oauth/idp/.well-known/openid-configuration，往Host字段插入大量数据，导致缓冲区过度读取，从而使得返回的response中带上缓冲区信息，缓冲区信息中可能会包含32-65字节长的十六进制字符串cookie信息，借助该信息可无需经过身份验证访问系统。

2）套用合法免费软件和开源工具

将常见/正当用途的合法软件的部分功能，组合进其攻击链/攻击过程中。如网络侦察、远程访问和隧道、凭据转储以及文件外泄。

利用这些软件的白签名或不被安全软件查杀的特点，成功绕过层层检测和防御，执行其恶意动作。这类“白利用”在LockBit3.0中比较突出。

我们在研究分析过程中对这些被利用的合法软件进行了整理，如下图：

3）利用Windows PowerShell特性来增强逃逸效果

由于Windows PowerShell的特性，即绝大多数代码直接在内存中执行，而不写入本地磁盘。LockBit也大量利用了此特点，例如：系统发现、侦察、密码/凭证搜索、密码/Token喷洒、权限提升等。如下图：

4）将复杂的横向移动过程组合化/程序化

在横向移动传播过程中，将不同的工具、攻击手法进行高效组合，尽可能扩大主机感染范围。例如：

5）使用专业的渗透测试工具

最后一个值得留意的是，常见的红队工具也被LockBit大量调用。如LaZagne、Mimikatz、CrackMapExec、Impacket、Metasploit和Cobalt Strike也都未缺席。

通过对LockBit1.0、LockBit2.0、LockBit3.0的三个主流版本TTPs进行分拆后，将其映射到MITRE ATT&CK Enterprise的12个阶段中。

1）初始访问阶段/Initial Access

在初始访问阶段，LockBit勒索软件会通过诱使用户访问水坑网站、Web漏洞利用、账户爆破、发送钓鱼邮件等方式获得对系统的初始访问权限。

2）执行阶段/Execution

LockBit在此阶段通过Windows系统内置命令和PowerShell环境来执行命令。并通过PsExec、Chocolatey等工具进行命令执行和恶意软件部署动作。

3）持久化阶段/Persistence

LockBit通过收集和重用系统账户，并通过启用自动登录。来相对隐蔽的维持控制权限。

4）权限提升阶段/Privilege Escalation

LockBit通过Window系统机制缺陷、UAC bypass、GPO策略修改、高权限账户利用等方式来完成权限提升。

5）防御规避阶段/Defense Evasion

LockBit通过使用GMER、PCHunter、PowerTool、Process Hacker、TDSSKiller、DefenderControl、Backstab等工具来禁用和卸载安全软件及相关的进程/服务；也使用资源管理器/定制的脚本/组策略等方法禁用Windows Defender、清除Windows日志文件，并通过将自身关联程序多次重命名后删除等方式进行防御规避。

6）凭证访问阶段/Credential Access

LockBit使用Lazagne、PasswordFox、GrabChrome、GrabRFF获取浏览器的密码；同时使用Mimikatz、ExtPassword或LostMyPassword获取操作系统登录凭证等方式进行“再次利用”。

7）发现阶段/Discovery

LockBit通常会枚举系统信息，（如主机名、进程信息、网络连接、域信息、局域网共享、本地驱动器配置及外部存储设备等），并设定排除策略，不感染特定语言（如俄语）主机。恰恰因为这个特性，很多机构坚定的认为LockBit背后的团伙是俄罗斯人。

8）横向移动阶段/Lateral Movement

LockBit通常会使用Psexec、WMI、RDP协议、Plink、wmiexec等工具获取主机权限；也会使用Adfind及ADExplorer工具进行域内信息收集，并使用CrackMapExec在内网进行批量哈希传递进行横移。

9）收集阶段/Collection

早期的LockBit会通过7-zip等压缩或者加密收集到的敏感数据，然后通过RClone工具将数据传输到MegaSync、MegaSync、FreeFileSync等文件云存储站点中，其中MEGASync用的更多一些。后期数据窃取主要由LockBit加密勒索组织专门编写的StealBit后门工具完成。

10）命令与控制阶段/Command and Control

LockBit会使用多种方式进行C2通信，例如：使用FileZilla等文件传输协议、使用Ligolo从反向连接建⽴SOCKS5或TCP隧道进行C2；使用PuTTY中的Plink在Windows上自动执行SSH操作进行C2通信；以及调用AnyDesk、Atera RMM或TeamViewer等远程管理工具进行C2通信。

11）数据渗出阶段/Exfiltration

StealBit 恶意软件是 LockBit 勒索组织开发的数据泄露工具，可以将文件内容泄露到远程攻击者控制的端点以进行双重勒索。此外，LockBit 团伙还使用外泄到云存储等方式进行数据渗出。

12）影响破坏阶段/Impact

在该阶段，LockBit会删除Windows卷影副本，尝试结束特定进程与服务如：Windows Defender、SQL等。同时也会查找连接的驱动器并尝试对文件进行加密。最后会伴随着修改桌面背景、生成勒索信等行为。

四、勒索病毒专题安全有效性验证的价值

基于对LockBit主流版本研究分析的结果，结合ATT&CK框架。我们在“灰度-先知BAS系统”中分别从：系统层、网络层、应用层等维度进行勒索病毒攻击向量的模拟重构，并进行了绝对的无害化处理。

部分模拟的向量内容，如下图：

在攻击向量模拟重构层面，我们几乎对MITRE ATT&CK Enterprise的所有阶段的大部分技战术做了覆盖。如下图：

在“先知BAS”系统中，我们将上一章节重构编写的向量，按照勒索软件攻击的实际情况，按照先后序列连接起来形成一个集合。

此时，就重新构建了完整的勒索软件攻击链验证场景，即勒索软件场景编排。如下图：

单一的编排场景仅能模拟和验证已知特定家族勒索病毒的防御有效性。但是将多个类似的勒索病毒编排场景聚合在一起的时候，情况就发生了改变。即他们在ATT&CK的每一个阶段技术实现和多样性上，都会比单一场景要宽泛和丰富得多。

而这种变化才有可能对未发生和将来可能发生的勒索攻击进行一定程度的模拟和验证，起到一定程度“防患于未然”的效果，这正是勒索病毒编排场景“量变带来”质变的根本原因。同时，这也我们做“勒索病毒专题集合”的初衷。

五、勒索病毒专项演练服务

在这个数字化浪潮汹涌的时代，勒索病毒如同潜伏在暗处的猛兽，时刻威胁着企业的信息安全和业务正常运转。因此亟需加强防护手段，以保障企业的稳定发展。

灰度安全着眼于当下持续升级的勒索病毒事件，重磅推出了【勒索病毒】安全演练服务。该服务拥有众多显著的优势：

勒索病毒专项安全演练服务，将作为灰度安全重点的安全服务能力推向市场，欢迎各行业客户申请测试，我们的专业团队会为您提供详细的测试报告和针对性的改进建议，帮助您及时发现潜在的安全问题，强化网络安全防线，为业务稳定运行保驾护航。