执行摘要
电子传感器全球顶级托管检测和响应 (MDR) 安全服务提供商拦截并阻止了臭名昭著的、与俄罗斯有关的 LockBit 勒索软件团伙的附属机构发起的三起独立的勒索软件攻击。这联邦调查局据估计,自该组织成立以来,LockBit 运营商及其附属公司已收取约 9100 万美元,而这只是美国的赎金。LockBit 作为勒索软件即服务 (RaaS) 模型发挥作用,招募其他网络犯罪分子使用 LockBit 的工具和基础设施进行勒索软件攻击。LockBit 是目前全球范围内最普遍、最赚钱、最具破坏性的勒索软件组织之一。
eSentire 造成的两起中断事件发生在 2023 年 2 月至 2023 年 6 月期间,其中一起发生在 2022 年 2 月。目标公司包括一家存储材料制造商、一家家居装饰制造商和一家托管服务提供商 (MSP)。
eSentire 的安全研究团队威胁响应单位(TRU) 发现,在每次攻击中,一旦 LockBit 黑客获得了对目标的初步访问权限,他们要么使用公司的远程监控和管理 (RMM) 工具,要么引入自己的 RMM 工具,尝试在目标之间传播勒索软件IT 环境,或者对于 MSP,将其恶意软件推送给 MSP 的下游客户。
RMM 工具是个体公司以及 IT 顾问、VAR 和 MSP 使用的一种软件。例如,个体企业使用 RMM 软件,以便其内部 IT 团队可以管理多个地点的计算机系统。IT 顾问、VAR 和 MSP 使用 RMM 工具来帮助远程监控和维护最终客户的 IT 系统。
当网络犯罪分子避免使用商标恶意软件并使用公司 IT 环境中已有的合法技术工具时,这被称为靠土地为生。这是黑客多年来使用的一种策略,它非常有效,因为它可以帮助威胁行为者避免被发现,并使归因变得更加困难 — — 特别是当 IT 管理工具可以远程或从云访问时。这意味着恶意威胁行为者对标准 IT 工具的使用看起来与合法使用没有任何不同,因为:
- 它们已在企业环境中安装并使用。
- 通过云服务管理 RMM 工具时,网络流量并不突出。
在本报告中,TRU 将详细介绍三起不同的事件。这些事件将说明,如果 LockBit 附属公司没有迅速被发现并阻止其勒索软件尝试,这些企业可能会遭受严重破坏。
TRU 高级威胁情报研究员 Keegan Keplinger 的评论
“LockBit 附属机构往往通过多种方法获得初始访问权限,包括基于浏览器的攻击(例如 SocGholish)、利用暴露在互联网上的易受攻击的服务器以及有效的凭据。”
“一些 LockBit 附属公司已转向 Living-off-the-Land 攻击模式,利用有效凭据并使用合法的 RMM 工具来部署勒索软件,包括 Advanced IP Scanner、AnyDesk、Atera 和 ConnectWise RMM™。使用有效凭据进行初始访问用于入侵行为的合法软件提高了检测攻击的门槛。”
“LockBit 运营商声称拥有开放的联盟模式,他们在泄密网站上表示,‘我们位于荷兰,完全不关心政治,只对金钱感兴趣。无论你住在哪个国家,说什么类型的语言你说,你多大,你信仰什么宗教,地球上的任何人都可以在一年中的任何时间与我们一起工作。有趣的是,俄罗斯尚未有关于 LockBit 攻击组织的案例报道,并且最近在 2023 年 6 月就有俄罗斯公民因与 LockBit 行动有关而被捕。”
“LockBit 是全球最繁忙的勒索软件运营机构之一,受害者遍布各个地理和垂直领域,从小型夫妻店到大型工业制造公司。”
LockBit 的崛起及其在美国的成功
俄语 LockBit 运营商及其附属机构是当今运营中最多产、最具破坏性和利润最高的勒索软件组织之一。他们于 2019 年底出现,但据信他们直到 2020 年 1 月才启动勒索软件即服务操作。从那时起,他们已经在全球范围内吸引了受害者。2023 年 6 月美国网络安全和基础设施安全局 (CISA)安全咨询据FBI估计,2020年1月至2023年6月期间,LockBit团伙对美国组织发起了1700次攻击,其中许多是在关键基础设施领域。这些是医疗保健、政府、技术和制造业的公司和公共实体。FBI 还估计 LockBit 运营商及其关联公司收取了约 9100 万美元,这使得他们在美国的赎金总额仅略低于著名的 1 亿美元俱乐部。
他们在美国最具破坏性的攻击之一发生在 2023 年 2 月,当时 LockBit 附属公司对奥克兰市,加利福尼亚州。这次攻击造成了数周的严重破坏,导致该市的许多系统瘫痪,并要求城市管理人员出于谨慎而关闭其 IT 网络。
该市多条非紧急电话线路离线或受到严重影响,延迟了奥克兰警察局的“响应时间”,此次袭击影响了至少六个不同的政府部门。因此,勒索软件攻击一周后,城市管理人员宣布进入紧急状态。LockBit 黑客并没有就此止步。据报道,他们还泄露了有关城市雇员的大量敏感数据,包括一些奥克兰居民的社会安全号码、医疗数据、家庭住址和其他个人信息。
LockBit 袭击加拿大和法国医院,法国毫不留情
LockBit 网络犯罪分子还追踪英国、加拿大、法国、意大利、澳大利亚和新西兰等国家的关键基础设施组织。读者可能还记得,袭击的是LockBit团伙多伦多病童医院去年12月,由于医院难以处理实验室结果和医学图像,延误了患者护理。令人震惊的是,12月31日,LockBit运营商向医院公开道歉,为他们提供了免费的解密器,并表示负责攻击的“合作伙伴”违反了他们的规定,因此被踢出了他们的医院。附属计划。多伦多病童医院只是 2022 年遭受 LockBit 攻击的众多加拿大组织之一。根据该国网络情报机构的说法,通信安全机构(CES),2022 年加拿大 22% 的勒索软件事件是由 LockBit 造成的。
与此同时,在地球另一端,官员们澳大利亚声称 LockBit 是该国 2022 年 4 月 1 日至 2023 年 3 月 31 日期间报告的勒索软件事件总数的 18% 的幕后黑手。
LockBit 运营商可能对加拿大儿童医院表示同情。然而,当他们的一个附属机构攻击一家公司的计算机网络时,他们当然没有表现出任何怜悯。法国医院,弗兰西林南部中心医院 (CHSF)2022 年 8 月下旬。这次袭击导致医院将急诊患者改送到其他地区医院。对于那些需要技术护理的患者,他们也必须被转移到其他设施。这次袭击还严重扰乱了医院的手术室,因为许多技术系统瘫痪了。LockBit 黑客索要 1000 万美元赎金,据报道,在医院拒绝支付后,LockBit 威胁行为者公布了有关工作人员和患者的个人数据以及有关医院合作组织的业务数据。
LockBit 黑客使英国国家邮政服务的国际运输中断一个多月,并破坏了英国最高安全围栏制造商
LockBit 团伙继续他们的犯罪行为,轰然地拉开了 2023 年的序幕。一月初,LockBit 的一家附属公司决定破坏英国邮政服务,皇家邮政。这次袭击使邮政组织的国际运输部门完全瘫痪了一个多月。黑客最初要求支付 8000 万美元的赎金,但后来将其减至 4000 万美元。据一篇新闻报道,尚不清楚皇家邮政是否支付了赎金,当皇家邮政发言人被问及时,他们拒绝回答。
尽管皇家邮政攻击成为头条新闻,但这是 LockBit 在 2023 年 8 月对总部位于英格兰的 Zaun Limited 的攻击,Zaun Limited 是一家最高安全性的周界围栏制造商,目前正在向英国政府官员发出警报。Zaun 生产安全门、周界围栏和其他物理安全屏障,其客户包括英国国防部。9月初,英国小报开始报道 LockBit 团伙在其暗网泄露网站上发布了从 Zaun 窃取的数千个页面,其中包含与 Zaun 与各个组织内的合作有关的敏感数据。英国国防部。
据报道,泄露的数据包括位于苏格兰的皇家海军基地克莱德核潜艇基地的信息;英国皇家空军基地的安全设备;英国波顿当化学武器实验室;以及周边围栏的详细图纸和突出显示位于威尔士的英国陆军基地考多尔的设施的地图。另据报道,LockBit 泄露了英国政府通信总部 (GCHQ) 设施和一系列英国监狱的销售订单。
下议院国防特别委员会成员、英国议会议员托拜厄斯·埃尔伍德 (Tobias Ellwood) 对于报告的泄露事件表示,“政府需要解释为什么这家公司的计算机系统如此脆弱。任何为潜在敌人提供安全安排的信息都具有巨大的意义。”忧虑。”
LockBit 从美国受害者手中骗取 9100 万美元
尽管 LockBit 运营商讲俄语,但他们声称总部位于荷兰。据报道,LockBit 运营商维护勒索软件加密器和网站,包括他们的暗网泄漏网站。这些附属机构的任务是闯入受害者网络、窃取数据并对受害者的设备进行加密。人们普遍认为,附属公司向 LockBit 运营商支付了他们收取的赎金的 20%。尽管尚不清楚有多少运营商运营 LockBit 集团,但事实是 9100 万美元(FBI 对 2020 年 1 月至 2023 年 6 月期间美国组织向 LockBit 支付的赎金的估计)中的 20% 为 2600 万美元,且免税。做兼职的工资还不错。
相比之下,一个人的平均年薪软件工程师在俄罗斯工作是19,000美元。因此,即使 LockBit 背后有 10 个运营商,每个运营商在三年半内的收入也将达到 260 万美元,运营商的平均年薪约为 743,000 美元,而这一估计仅包括美国的赎金。
LockBit 巧妙的营销策略引诱合作伙伴犯罪
如前所述,LockBit 充当勒索软件即服务 (RaaS) 模型。LockBit 的其他有趣的方面之一是一些聪明的营销策略用于招募其附属机构,包括:
- 确保附属公司首先获得付款——附属公司可以收到全额赎金,然后将其部分发送给运营商。通常,大多数 RaaS 运营商的做法恰恰相反,核心运营商获得赎金,然后向附属公司发送他们商定的分成。
- 在地下论坛中诽谤其他 RaaS 团体。
- 通过付费让人们获得 LockBit 纹身并发放 100 万美元的信息赏金来推广 LockBit 品牌,从而找到了使用化名“LockBitSupp”的 LockBit 首席操作员的身份。
- 为其勒索软件提供简单的点击式界面,使其易于使用,因此即使是技术技能最低的附属机构也可以使用它。
LockBit 附属机构攻击 MSP 并试图感染其下游客户
在跟踪 LockBit 组织的活动时,TRU 对 LockBit 在攻击 eSentire 客户时使用 RMM 工具并不感到惊讶。事实上,在 CISA 的 6 月安全咨询,他们特别指出了 LockBit 附属公司如何重新利用 RMM 工具(例如 AnyDesk、Atera 和 ConnectWise RMM™ 以及其他合法软件)来进行勒索软件操作。网络犯罪分子正在利用这些强大的远程监控和管理工具,因为用户和组织在使用这些 RMM 解决方案时没有执行访问控制管理最佳实践。当使用 RMM 和其他远程访问技术时应格外小心。
2023 年第一季度,eSentire 安全运营中心 (SOC) 的网络分析师收到 eSentire 的 MDR for Endpoint 解决方案的警报,称少数客户的计算机上检测到并阻止了勒索软件。TRU 立即被要求进行调查,并确保威胁行为者没有采取其他行动,例如横向移动、持久性和凭证访问,并确定黑客是如何获得初始进入的。
受影响的端点立即被隔离,恶意软件被识别为 LockBit。TRU 清除了计算机并启动了威胁搜寻,以确保 LockBit 犯罪分子不再出现在客户的网络中。一旦确认网络犯罪分子消失,TRU 就开始调查 LockBit 黑客如何获得访问权限。
TRU 发现每个受到 LockBit 攻击的组织都是同一个 MSP 的客户。TRU 联系了 MSP,开始寻找可能的线索,情况开始逐渐清晰。
推测初始访问
TRU 提出的最初问题是 LockBit 勒索软件是如何进入多个客户的端点的?MSP 没有表现出被闯入的迹象;因此,TRU 认为威胁行为者可能已获得 MSP 的 RMM 平台的有效凭证。在之前的案例中,TRU 发现 LockBit 勒索软件在感染恶意软件加载程序后被部署到受害者的环境中,社会高利什。然而,在事件调查过程中并未发现 SocGholish。
TRU 发现 MSP 的 RMM 软件 ConnectWise RMM™ 的登录面板暴露在互联网上。许多远程监控和管理服务提供商将其 RMM 服务向互联网开放,以便其客户的 IT 管理员更轻松地访问该服务以进行部署、设备注册、文件共享和品牌建设。
但是,如果 IT 系统(如 RMM 服务)向互联网开放,则威胁参与者可以使用任意数量的搜索服务(如 Shodan)来查找连接互联网的系统和设备,然后针对这些系统进行勒索软件攻击或其他类型的攻击的攻击。
为避免出现此类情况,建议所有远程监控和管理服务提供商:
- 对所有 RMM 访问实施双因素身份验证,并确保 RMM 帐户使用强且唯一的密码。
- 为受信任的 IP 实施访问控制列表 (ACL)。但是,如果最终客户正在漫游,他们应该连接到 VPN。
- 或者,RMM 服务提供商可以在客户访问 RMM 系统之前实施客户端 SSL 证书的使用。
如果此类保护措施没有到位,那么威胁行为者获得访问权限的机会就会成倍增加。例如,网络犯罪分子可以暴力破解或网络钓鱼一组合法凭证。另外,地下市场上出售大量合法的登录凭据。在跟踪这些暗网市场时,TRU 观察到无数帖子宣传一些最受欢迎的 RMM 服务的被盗凭证,包括 AnyDesk、Atera、ConnectWise RMM™ 和 Kaseya VSA。
一套凭证的价格仅为 10 美元。参见图 1。
![勒索软件与威胁情报1](https://www.baobegou.com/wp-content/uploads/2023/09/b0c2c9d5b6c2ff5.png)
![勒索软件与威胁情报2](https://www.baobegou.com/wp-content/uploads/2023/09/1ca42ab50a2b266.png)
![勒索软件与威胁情报3](https://www.baobegou.com/wp-content/uploads/2023/09/a4b9a7fbac4da08.png)
![勒索软件与威胁情报4](https://www.baobegou.com/wp-content/uploads/2023/09/b286530f4bd2458.png)
如果威胁行为者能够从 RMM 服务提供商处获取系统管理凭证,或者如果他们能够从 RMM 服务提供商的客户处获取一组合法访问凭证,并且能够设法获取系统管理凭证,那么他们就有机会威胁行为者可以向服务提供商的下游客户部署勒索软件或其他恶意软件,这是件好事。这就是为什么 RMM 服务提供商拥有双因素身份验证、强密码使用和安全远程访问规则如此重要的原因。
远程监控和管理工具是功能强大、高效的解决方案。它们帮助各个公司管理多个地点的计算机系统,并帮助管理员工对公司网络的远程访问。此外,许多中小型企业 (SMB) 严重依赖 IT 顾问、VAR 和 MSP 来帮助他们维护 IT 系统,确保 SMB 的计算机环境始终正常运行(24/7),这样他们就可以集中精力关于他们的核心业务。然而,正如本报告所述,这些强大的 RMM 解决方案要求这些工具的用户(无论是单个公司还是 VAR、顾问还是 MSP)实施访问控制管理最佳实践,并在 RMM 和其他远程访问技术时格外小心被利用。
LockBit 攻击被拦截
如前所述,由于黑客使用 LockBit 勒索软件作为针对 MSP 多个客户的最终有效负载,因此攻击很快被拦截并关闭。受影响的端点立即被隔离,恶意软件被识别,计算机被清除,TRU 进行了威胁搜寻,以确保 LockBit 威胁行为者不再出现在客户的网络中。
请参阅报告末尾有关此 LockBit 事件的技术详细信息。
![勒索软件与威胁情报的勒索界面](https://www.baobegou.com/wp-content/uploads/2023/09/9acb8981ba001d8.png)
LockBit 使用 PsExec 和 AnyDesk 来攻击家居装饰制造商
在此事件中,LockBit 附属公司被发现在一家制造公司的端点上禁用 Windows 服务。认识到实际入侵的迹象后,TRU 积极响应,将事件升级。在调查过程中,我们发现 PsExec 服务已启动,并被威胁行为者利用来删除他们带入制造商环境的文件,从而使安全防御者更难追溯威胁行为者的步骤并收集取证。
这些计算机立即与网络隔离,并且 PsExec 的使用情况可追溯到不受管理、不受保护的计算机。威胁行为者还试图通过以下方式建立持久性:任意桌面,一种 RMM 工具,也因 LockBit 入侵而流行。从非托管端点检测到进一步传播到其他计算机的尝试。此时,TRU 怀疑 LockBit 附属公司拥有该特定计算机的管理员权限。威胁行为者试图删除制造商文件的卷影副本,这种方法肯定会阻止从勒索软件攻击中恢复。然而,LockBit 附属公司并没有成功。eSentire 与客户端合作,禁用了源计算机。通过主机隔离和基础设施封锁,勒索软件附属公司被压制,威胁也被关闭。
LockBit 针对存储材料制造商并使用多种 RMM 工具试图在受害者网络中传播勒索软件
2023 年 5 月下旬,eSentire 的 24/7 SOC 向 TRU 发出警报,称一家存储材料制造商的企业桌面上发现了可疑活动。经过调查,TRU 发现威胁行为者已初步进入该组织的网络,并将 Microsoft 安装文件上传到该公司的一台计算机上。然后,他们安装了 RMM 工具 ConnectWise RMM™,并使用它将勒索软件推送到另一台公司计算机上。有趣的是,制造商还实施了 ConnectWise RMM™ 工具作为其 IT 环境的一部分。
eSentire 的端点解决方案立即检测到恶意软件并阻止勒索软件二进制文件的执行。计算机已脱离网络,勒索软件代码已从系统中删除。TRU 进行了进一步调查,以评估环境中的横向移动和持久性,发现另一个 RMM 工具 TSD 服务已写入磁盘。没有发现额外的持久性机制。
当目标已经在其公司环境中安装了该工具时,为什么 LockBit 黑客会携带自己的 ConnectWise RMM™ 副本?TRU 推测威胁行为者可能没有该公司 ConnectWise RMM™ 平台的凭据,并认为如果他们将自己的 RMM 工具副本带入目标环境中,平台会更安静且侵入性更小。由于制造商已经在其网络中运行了 RMM 工具,因此该工具的其他副本的存在不会立即引起系统管理员和安全维护人员的警惕。
组织如何防止网络犯罪分子劫持其 RMM 工具并使用勒索软件感染其员工和最终客户
针对 MSP 和两家制造商的 LockBit 攻击凸显了保护 RMM 软件安全的重要性。以下是防御 LockBit 和其他网络威胁的安全提示,利用组织的合法 IT 工具传播恶意软件并隐藏在众目睽睽之下。
- 对所有 RMM 访问、VPN 和其他关键软件系统实施双因素身份验证。确保 RMM 帐户和其他关键系统帐户使用强且唯一的密码。
- 为受信任的 IP 实施访问控制列表 (ACL)。但是,如果最终客户正在漫游,他们应该连接到 VPN。
- 或者,MSP 可以在客户访问 RMM 系统之前实施客户端 SSL 证书的使用。
- 不要在工作机会中过于明确地介绍您的软件堆栈。由于工作机会必然面向公众,威胁行为者可以利用这些来了解您的公司使用了哪些软件,从而制作员工不太可能质疑的个性化网络钓鱼诱饵。
- 网络钓鱼意识:任何有权访问 RMM 软件的员工都应该接受额外的指示,以审查似乎来自 RMM 服务提供商的通信。
- 确保您组织的 IT 环境,包括网络、端点和日志(本地和云中)受到 24/7 托管检测和响应解决方案的保护。
- 了解作为 24/7 托管检测和响应产品的一部分提供的响应/补救和事件处理级别。
- 主动威胁情报已投入使用——在初步发现后进行扫描/主动搜寻,以发现客户组织中的恶意行为者。
- 确保您的组织定期、及时地修补和更新其软件应用程序、操作系统和所有第三方工具。
- 教育您的客户有关网络安全的重要性,并与他们合作为其员工制定安全政策和指南。
CISA LockBit 安全公告还详细介绍了该威胁组织的技术、策略和程序 (TTP)。看这里。
针对 MSP 的 LockBit 攻击的技术细节
在 LockBit 对 MSP 进行攻击期间,勒索软件二进制文件在五分钟内被投放到多个端点上。LockBit 附属公司试图部署勒索软件的下游客户组织包括制造组织以及商业服务、运输和酒店业的公司。
TRU 认为,威胁行为者可能根据哈希值为三个客户生成了新的勒索软件版本,以规避哈希阻止。威胁行为者在 Windows 服务器上投放了 32 位和 64 位版本的 LockBit 勒索软件二进制文件,并在其中一台主机上投放了勒索软件 DLL 版本的 PowerShell 加载程序。TRU 发现 LockBit Green 版本被添加到主机和其他 LockBit 版本中。LockBit Green 于 2023 年初发布,最先报道的是vx-地下。
TRU 能够恢复威胁组织在其中一台服务器上投放的 PowerShell 脚本。该脚本名为“LBB_PS1_obfuscated”。混淆脚本的第一层主要由负责连接和反转字符顺序的代码行组成。
![勒索软件与威胁情报55](https://www.baobegou.com/wp-content/uploads/2023/09/90f66866d63cd09.png)
在执行解码数据之前,该脚本会尝试通过将 amsiInitFailed 指定为“True”(System.Management.Automation.AmsiUtils 类)来禁用反恶意软件扫描接口 (AMSI),这将禁用当前进程的扫描。AMSI 是 Windows 中的一项功能,防病毒和其他安全产品可以使用它来扫描 PowerShell 命令以查找恶意内容。
函数“fnD”获取 $data 数组中的 64 位整数数组,使用按位 AND (-band) 运算对它们进行解码,并以 ASCII 形式返回解码后的字符串;然后用解码后的字符串填充 $scb。
![勒索软件与威胁情报6](https://www.baobegou.com/wp-content/uploads/2023/09/8d679013c5abd9b.png)
第三个反混淆层揭示了包含 LockBit 勒索软件二进制文件的 PowerShell 加载程序。反混淆脚本负责将经过 Base64 编码和 GZIP 压缩的 DLL 反射加载到内存中的当前进程中,从而导致勒索软件执行。
![勒索软件与威胁情报7](https://www.baobegou.com/wp-content/uploads/2023/09/c84dbfcb1770142.png)
LockBit 使用 ROR13 哈希算法进行 API 哈希。API 哈希在恶意软件中用于逃避检测。该过程涉及为 API 函数创建唯一的哈希值,这可以帮助恶意软件绕过安全工具使用的基于签名的检测技术。
![勒索软件与威胁情报8](https://www.baobegou.com/wp-content/uploads/2023/09/749178be3176b1c.png)
大多数 API 哈希值都通过 XOR 进一步混淆。XOR 密钥 0x11039FFE 被硬编码在二进制文件中。TRU 能够使用以下方法解析哈希值哈希数据库插件,由 OALabs 开发。
![勒索软件与威胁情报9](https://www.baobegou.com/wp-content/uploads/2023/09/8c3d1fab139138c.png)
LockBit 实现了蹦床,包括旋转和 XOR 操作(使用上面提到的密钥)来调用特定的 API 函数。
![勒索软件与威胁情报10](https://www.baobegou.com/wp-content/uploads/2023/09/778f8ff0fecbdd8.png)
勒索软件二进制文件包含多个反调试功能。当检测到调试器时,ForceFlags字段被设置为HEAP_TAIL_CHECKING_ENABLED标志,并且序列0xABABABAB附加在分配的堆块的末尾。
![勒索软件与威胁情报11](https://www.baobegou.com/wp-content/uploads/2023/09/bc0e80dd6c78057.png)
勒索软件实现的另一种反调试技术是使用 ZwSetInformationThread 并将 ThreadInformationClass 设置为 0x11 (ThreadHideFromDebugger),以对调试器隐藏线程。当线程运行时,调试器将无法接收任何事件。
![勒索软件与威胁情报12](https://www.baobegou.com/wp-content/uploads/2023/09/578a23c29b7a83b.png)
第三种反调试技术是通过加密对 DbgUiRemoteBreakin 的调用来实现的。调试器使用 DbgUiRemoteBreakin 远程中断正在运行的进程并中断其执行。当调试器需要调试进程时,它可以调用 DbgUiRemoteBreakin 函数使进程中断到调试器,从而允许调试器控制并检查进程的状态。将DbgUiRemoteBreakin的内存保护修改为PAGE_EXECUTE_READWRITE后,通过SystemFunction040(RtlEncryptMemory)函数对32个字节进行加密。这将导致 DbgUiRemoteBreakin 调用损坏。
![勒索软件与威胁情报13](https://www.baobegou.com/wp-content/uploads/2023/09/853f3677d5ce893.png)
LockBit 从 PEB(进程环境块)数据结构确定系统上当前运行的 Windows 操作系统的版本。
![勒索软件与威胁情报14](https://www.baobegou.com/wp-content/uploads/2023/09/0d5f3b91913c583.png)
勒索软件会创建一个互斥体,以防止勒索软件的另一个实例运行。互斥量是受感染计算机 GUID(全局唯一标识符)的 MD4 哈希值,例如“Global\\a91a66d6abc26041b701bf8da3de4d0f”。如果勒索软件的多个实例正在运行,勒索软件将终止执行,并且通过命令提示符使用“/c del /f /q”命令删除 PowerShell 勒索软件加载程序文件,而不提示确认。
![勒索软件与威胁情报15](https://www.baobegou.com/wp-content/uploads/2023/09/0fc0738946e1a14.png)
LockBit 还通过 COM Elevation Moniker 和“Elevation:Administrator!new:{3E5FC7F9-9A51-4367-9063-A120244FBEC7}”实现 UAC 绕过。COM 提升名字对象是一种用于绕过 UAC 提示并通过创建具有管理员权限的 COM 对象的新实例来提升进程或程序权限的技术。名称语法“Elevation:Administrator!new:{GUID}”指定应使用管理员权限创建具有指定 GUID 的 COM 对象的新实例,从而绕过 UAC 提示。
![勒索软件与威胁情报16](https://www.baobegou.com/wp-content/uploads/2023/09/022c7a0ee302dba.png)
勒索软件使用按位异或运算解密字符串,如下所示。TRU 写了IDAPython脚本解密勒索软件二进制文件中的字符串。
![勒索软件与威胁情报17](https://www.baobegou.com/wp-content/uploads/2023/09/a0d8e9d45bbcf1b.png)
LockBit 利用 TrustedInstaller 停止 Microsoft Defender 防病毒等服务;它查询 TrustedInstaller 服务、启动该服务并复制 TrustedInstaler.exe 进程的令牌。值得一提的是,一个类似技术在 Hive 勒索软件中观察到。
![勒索软件与威胁情报18](https://www.baobegou.com/wp-content/uploads/2023/09/dd3551121540591.png)
勒索软件避免加密以下扩展:
第386章 | 副词 | 阿尼 |
蝙蝠 | 垃圾桶 | 出租车 |
指令 | com | CP |
当前 | 桌面主题包 | 诊断仪 |
诊断配置文件 | 诊断程序包 | 动态链接库 |
驾驶室 | EXE文件 | HLP |
化学发光 | 集成电路 | ICO |
集成电路 | idx | LDF |
墨水 | 模组 | 兆帕 |
MSC | MSP | 样式 |
NS5 | 国家统计局 | 诺梅迪亚 |
奥克斯 | 脉冲频率 | PS1 |
只读存储器 | 实时传输协议 | TC2 |
th3 | 斯普利 | 系统 |
主题 | 主题包 | 工作组 |
锁 | 钥匙 | 哈塔 |
微星 | 数据库 |
以下文件也会从解密中跳过:
自动运行文件 | 启动文件 |
bootfont.bin | bootsect.bak |
桌面.ini | 图标缓存数据库 |
NTLDR | ntuser.dat |
ntuser.dat.log | ntuser.ini |
拇指数据库 |
被勒索软件杀死的服务列表:
VS | sql |
服务$ | 梅姆塔斯 |
梅波克斯 | 微软交换 |
索福斯 | 维姆 |
备份 | GxVss |
格克斯布莱尔 | 前轮驱动 |
化学气相沉积 | GxCIMgr |
要杀死的进程列表:
sql | 甲骨文 | 奥卡斯特 |
数据库管理协议 | 同步时间 | 代理服务中心 |
isqlplussvc | xfssvccon | 我的桌面服务 |
事件更新 | 编码器 | 火狐浏览器 |
tbird配置 | 我的桌面服务质量 | 奥康姆 |
德邦50 | sqb核心服务 | 卓越 |
信息路径 | 微软访问 | 微软酒吧 |
笔记 | 外表 | 电源点 |
蒸汽 | 球棒 | 雷鸟 |
维西奥 | 温字 | 写字板 |
记事本 |
LockBit还可以将受感染机器的配置以以下格式发送到C2服务器:
{ "host_主机名": "%s", “主机用户”:“%s”, "host_os": "%s", “主机域”:“%s” "host_arch": "%s", "host_lang": "%s", “磁盘信息”:[ { "磁盘名称": "%s", “磁盘大小”:“%u”, “自由大小”:“%u” }] }
使用以下用户代理:
- 火狐/5.0
- AppleWebKit/537.36(KHTML,如 Gecko)
- 铬/91.0.4472.77
- 野生动物园/537.36
- 边缘/91.0.864.37
- 火狐/89.0
- 壁虎/20100101
![勒索软件与威胁情报19](https://www.baobegou.com/wp-content/uploads/2023/09/b186702c55299c3.png)
妥协指标
姓名 | 指标 |
LBG64.exe | 38c813d99d54de6639a80148ff1cfc6acec08066b0912c49576604ed67e9cfaf |
LBG32.exe | 8793537b1422beb7d314c65761135b38c63fbdefac6092e93c80191a2e22de91 |
LBG32.exe | 6a686c39a6d0e11f217ca6fce2ebc45039f2ab34daa69afb548d847ee09561c5 |
LBB_PS1_obfuscated.ps1 | 6ac1084e747153b3958df7af09eb71fdeb883385f508a0bec8b983b9a87d729a |
LockBit DLL 二进制文件(32 位) | 5e947d728f25449601414e025ce298c69df1c6c852e3994aa1a2b23c8e8c4db4 |
参考:
https://twitter.com/vxunderground/status/1618885718839001091?s=20
https://github.com/OALabs/hashdb
https://anti-debug.checkpoint.com/techniques/debug-flags.html
https://github.com/RussianPanda95/IDAPython/blob/main/LockBit/lockbit_string_decrypt.py
https://research.openanalysis.net/lockbit/lockbit3/yara/triage/ransomware/2022/07/07/lockbit3.html
![网络安全](https://www.baobegou.com/wp-content/uploads/2023/08/bcca66c7351722c.jpg)
![隐私保护](https://www.baobegou.com/wp-content/uploads/2023/08/002be7163a14a9e.jpg)