NotLockBit：新的跨平台勒索软件威胁的技术分析

勒索软件威胁形势在不断发展，越来越复杂的攻击者适应新的安全措施。其中，Not LockBit作为一个特别阴险的变种出现，其灵感来自著名的LockBit勒索软件。

虽然这个名字可能暗示着一种简单的模仿，但 NotLockBit 展示了先进的功能和一定程度的复杂性，这使其对Windows和macOS系统构成真正的威胁。 NotLockBit 用Golang编写并作为x86_64二进制文件分发，旨在实现跨平台兼容性和抗分析性。其加密目标文件、窃取数据和自删除的能力使其在当今的网络威胁领域中脱颖而出。

对该勒索软件的分析，结合危害指标 (IoC) 和检测到的样本之间链接的图形图像，可以清晰地了解其变体及其持续演变。

NotLockBit 技术架构

NotLockBit 是一种复杂且设计良好的勒索软件，以Golang编写的x86_64架构的二进制可执行文件形式分发。选择 Go 对于攻击者来说具有战略意义，因为它能够在不进行重大修改的情况下创建跨平台兼容的代码。此外，该语言对静态分析具有天然的抵抗力，因为二进制文件很大且难以破译。

感染链

NotLockBit的感染链由五个主要阶段组成：初始化、数据泄露、数据加密、篡改和自删除。这些阶段详细概述了勒索软件危害您的系统并实现其恶意目标的过程。

初始化

在受害者的系统上运行后，NotLockBit 通过以下操作开始初始化阶段：

收集系统信息：恶意软件收集有关操作系统、主机名、硬件信息、活动进程列表和相关目录的详细信息。这些数据暂时保存在文本文件中，稍后用于定制攻击并促进渗透。

加密密钥生成：生成随机 AES 密钥来加密文件。然后，该密钥将受到恶意软件代码中嵌入的 RSA 公钥的保护。

准备渗透：NotLockBit 使用默认的 AWS 凭证进行数据上传，建立与攻击者基础设施的连接。

数据泄露

初始化完成后，勒索软件就会进入数据泄露阶段。它使用初始化期间收集的信息并将其发送到攻击者控制的Amazon S3存储桶。通常通过 HTTPS 协议建立看似合法的连接，以避免被安全系统检测到。

泄露的数据可能包括：

详细的系统信息

文件列表

在设备上发现的敏感数据（文档、数据库、配置文件）

S3 存储桶的使用确保了被盗数据的快速渗透和可扩展管理。

数据加密

数据泄露后，NotLockBit 开始加密阶段。该勒索软件使用AES-256算法对特定文件类型进行加密，例如文档、图像、档案和数据库。

在此阶段，勒索软件会执行多项有针对性的操作：

排除敏感目录：避免对操作系统的关键目录进行加密，以确保系统运行的连续性。

文件定位：根据.docx、.xlsx、.pdf、.zip和.db其他常用扩展名等扩展名识别有价值的文件。

保存加密密钥：使用的 AES 密钥使用公共 RSA 密钥进行加密，并添加到加密文件中，以确保只有攻击者才能解密数据。

加密文件被重命名为与 NotLockBit 相关的特定扩展名，并且勒索文件被放置在每个受损目录中。

篡改

加密完成后，NotLockBit 会更改您的桌面壁纸以显示勒索消息。此消息通知受害者文件已被加密，并提供有关如何联系攻击者并支付赎金的详细说明。不仅是为了与受害人沟通，也是为了施加心理压力，促使其尽快付款。

消息可以包括：

联系信息（电子邮件、暗网上的洋葱网站）

要求赎金的金额

如果不付款，就会威胁公布泄露的数据

自我删除

为了清除其痕迹并使取证分析变得更加困难，NotLockBit 在其操作结束时执行自我删除。

此阶段是通过使用删除感染期间创建的可执行二进制文件和临时文件的脚本或命令来完成的。自删除会阻止受害者或研究人员进行深入的勒索软件分析，从而使检测 IoC（妥协指标）变得更加困难。

样本分析和妥协指标

如下图所示，所提供的图像直观地说明了 NotLockBit 勒索软件与各种相关的危害指标 (IoC)之间的关系网络。

在此图形表示中：

中央节点代表NotLockBit，勒索软件的不同变体都从该节点分支出来。

每个黄色节点表示分析期间识别的 NotLockBit 样本。这些样本在代码和所使用的混淆技术的小细节上有所不同。

绿色节点代表与勒索软件样本相关的文件的哈希值。

确定的一些最相关的哈希值是：

a28af0684456c26da769a2e0d29c5a726e86388901370ddf15bd3b355597d564

aca17ec46730f5677d0d0a995b65054e97dcec65da699fac1765db1933c97c7ec

14fe0071e76b23673569115042a961136ef057848ad44cf35d9f2ca86bd90d31

2e62c9850f331799f1e4893698295db0069ab04529a6db1bfc4f193fe6aded2c

e02b3309c0b6a774a4d9403693e35a395b4c374dc3ea64410cc33b0dcd67ac

箭头指示每个样本如何链接到 NotLockBit 的主要变体，以及每个哈希如何从原始源代码的演变中派生。这种结构突出了攻击者的持续开发活动，旨在通过频繁更新和更改代码来逃避防御系统。

混淆和反分析技术

NotLockBit 采用了多种技术来使分析和检测变得复杂：

字符串混淆：勒索软件使用的字符串经过加密，仅在执行过程中进行反混淆，这使得对代码进行静态分析变得困难。

二进制打包：有效负载可以使用UPX等工具进行打包，将原始代码隐藏在压缩格式中。

反调试：恶意软件检测它是否在分析环境（例如沙箱或调试器）中运行并停止执行以避免暴露其全部功能。

NotLockBit 代表一种高级勒索软件威胁，旨在逃避常见的安全措施并适应不同的操作环境。

针对 Windows 和 macOS 系统的能力，再加上复杂的加密、渗透和混淆技术，使其特别危险。 IoC 之间的连接图像突出了这种威胁的动态性质，显示了每个样本如何反映恶意代码的不断更新和改进。

为了保护自己免受像 NotLockBit 这样的勒索软件的侵害，必须实施先进的EDR（端点检测和响应）解决方案、持续监控网络活动并保持关键数据的备份最新。

只有多层安全策略才能减轻这些新的危险威胁带来的风险。

原文始发于微信公众号（网络研究观）：NotLockBit：新的跨平台勒索软件威胁的技术分析