安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
最近几年勒索病毒已经席卷全球,全球范围内越来越多的政府、企业,组织机构等受到勒索病毒黑客组织的攻击,几乎每天都有企业被勒索病毒攻击的新闻被曝光,可能还有更多的企业被勒索病毒攻击之后,选择默默交纳赎金,由于勒索病毒太过于暴利,从而导致越来越多的黑客组织开始使用勒索病毒攻击。
LockBit勒索病毒首次于2019年9月被发现,最开始被称作为ABCD勒索病毒,因为它加密后的文件后缀名为abcd,随后它加密后的文件后缀修改为lockbit,并被更名为LockBit勒索病毒,与大多数主流勒索病毒黑客组织一样,以RAAS(Ransomware-as-a-service)平台模式运营,并于2021年6月该勒索病毒推出了它的更新版本LockBit2.0,并加入了磁盘卷影和日志文件删除等新功能,同时还推出了它的专用窃密木马StealBit,对受害者进行双重勒索攻击,它是继GandCrab、Sodinokibi(REvil)等勒索病毒黑客组织之后,成为全球最活跃的勒索病毒黑客组织,同时该勒索病毒也号称是加密速度最快的勒索病毒。
2022年6月,LockBit勒索病毒黑客组织再次完成升级,并于2022年7月推出LockBit3.0勒索病毒正式版本,LockBit3.0版本的勒索病毒又称为LockBit Black勒索病毒,最新版的勒索病毒主要在免杀方式又做了更进一步的加强,持续优化了安全软件的对抗能力,可以发现该勒索病毒开发人员不断在尝试和研究新的免杀攻击技术以逃避安全软件的检测。
通过勒索病毒威胁情报监控,LockBit勒索病毒黑客组织仍然是全球主流的勒索病毒组织之一,如下所示:
查询到LockBit勒索病毒黑客组织最新的暗网网站,LockBit勒索病毒暗网网站,如下所示:
基本上每周都会更新受害者信息,最新的受害者信息,如下所示:
LockBit勒索病毒在2024年推出了针对Mac系统的攻击样本,从威胁情报平台上找到一个该攻击样本,对样本进行相关分析。
样本分析
1.样本采用C/C++语言编写,如下所示:
2.获取系统信息,开源项目地址:https://github.com/elastic/go-sysinfo,如下所示:
3.获取程序中包含的RSA公钥信息,并写入到文件,如下所示:
4.将公钥信息写入桌面文件encrypted_master_key.txt,如下所示:
5.遍历系统文件,除非不需要加密的文件目录和文件,如下所示:
6.加密文件,使用AES+RSA组织加密算法,加密后的文件后缀名为abcd,如下所示:
7.加密完成之后,进行自删除操作,如下所示:
其他分析内容省略,有兴趣的自己下载样本研究一下吧。
总结结尾
黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在,防不胜防,很多系统可能已经被感染了各种恶意软件,全球各地每天都在发生各种恶意软件攻击活动,黑客组织一直在持续更新自己的攻击样本以及攻击技术,不断有企业被攻击,这些黑客组织从来没有停止过攻击活动,非常活跃,新的恶意软件层出不穷,旧的恶意软件又不断更新,需要时刻警惕,可能一不小心就被安装了某个恶意软件。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究
原文始发于微信公众号(安全分析与研究):针对Mac系统的LockBit勒索病毒样本分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论