LockBit 繞過 Windows 用戶賬戶控制提升特權

今年早些時候，研究人員分析了一年前出現的勒索軟件家族LockBit的內部工作原理，該公司很快與Maze和REvil一起成為了目標勒索業務的另一個參與者。正如在4月所觀察到的那樣，LockBit已經迅速成熟，它通過繞過Windows用戶帳戶控制（UAC）使用一些新穎的方法來提升特權。

Sophos最近檢測到的一系列攻擊使我們有機會更深入地研究LockBit的工具，技術和實踐。勒索軟件背后的參與者使用多種方法來逃避檢測：通過使用PowerShell的重命名副本，可以使用PowerShell以某種方式破壞監視和日志記錄以建立持久后門的工作，從而從遠程Google文檔中調用腳本。攻擊腳本還嘗試繞過Windows 10的內置反惡意軟件界面，直接在內存中對其應用補丁。在內部，我們將這種LockBit攻擊方式稱為“ PSRename”。

基于一些組件，我們認為攻擊的某些組件基于PowerShell Empire，這是基于PowerShell的滲透測試后開發工具。在釋放LockBit勒索軟件之前，PowerShell腳本使用一系列受遠程后端控制的高度混淆的腳本，收集有關目標網絡的有價值的情報，檢查惡意軟件保護，防火墻和取證沙箱以及非常特定類型的商業軟件的跡象，尤其是，銷售點系統和稅務會計軟件。如果目標的指紋與誘人的目標匹配，則一系列攻擊腳本只會部署勒索軟件。

除了破壞和注冊表項輸入的初始點之外，這些攻擊幾乎沒有進行法醫學分析的文件占用空間。勒索軟件被腳本拉低并直接加載到內存中，然后執行。攻擊者在執行攻擊時徹底清除了日志和支持文件。

這些高度自動化的攻擊非常迅速，一旦認真發起了勒索軟件攻擊，就利用Windows管理工具在5分鐘內在目標網絡上執行了LockBit勒索軟件。

Layers of obfuscation

在我們分析的八種攻擊中受打擊的組織是規模較小的組織，僅部署了部分惡意軟件保護。它們中沒有一個在其網絡上具有面向公共Internet的系統，盡管其中一個具有較舊的防火墻，并且其端口開放供HTTP和HTTPS進行遠程管理。

目前尚不清楚這些組織最初的妥協是什么，因為我們無法了解該事件。但是，看來我們在此分析的攻擊中的所有活動都是從網絡中一臺受損的服務器發起的，該服務器被用作LockBit攻擊的“mothership”。

在分析其中一種攻擊時，我們發現了一些針對已安裝惡意軟件保護的系統而啟動的PowerShell腳本的痕跡。這些腳本清楚地說明了攻擊的自動化程度，還演示了LockBit操作員花了很長時間來使對他們的攻擊的取證分析盡可能地困難。

在攻擊的第一階段，PowerShell腳本連接到Google Docs電子表格，從電子表格的主體中檢索以Base64編碼的PowerShell腳本。

該代碼隱藏在此Google表格文檔的單元格B1中。

該腳本獲取工作表中單元格B1的內容并執行它。檢索到的腳本在系統的TMP文件夾中創建PowerShell的副本，并使用該副本執行Base64編碼的內容：

隱藏在Google表格文檔單元格中的代碼以及Base64編碼的內容。

編碼部分的內容。

對該腳本進行解碼可以發現它使用System.Net.ServicePointManager對象創建了一個連接到hxxps：// 142 [.] 91.170.6的會話，并下載了另一個編碼腳本流。更大的代碼塊包含一個創建持久后門的函數。該函數使用模板來選擇新名稱和路徑，以創建PowerShell.exe和Microsoft腳本宿主mshta.exe的副本，以及虛構的代理程序描述，以使它們看起來像其他合法進程。它還會創建一個使用重命名的可執行文件的Task Scheduler清單文件，調度要由腳本主機執行的VBscript命令，該腳本主機將使用重命名的PowerShell可執行文件調用后門：

我們還發現LockBit攻擊者使用另一種形式的持久后門，即使用放置在Windows啟動命令文件夾中的LNK文件。LNK文件啟動Microsoft腳本宿主，以運行VBScript，后者又執行PowerShell腳本以讀取存儲在本身以Base64編碼的鏈接文件中的數據。
多余的LNK字節解碼為PowerShell的另一個編碼塊，解碼如下：

存儲在Lockbit用來創建持久后門的LNK文件末尾的PowerShell代碼。

該腳本連接到遠程服務器，并以流的形式下拉后門腳本，然后使用命令行解釋器執行下載的腳本。

Empire building

后門存根下載更多混淆的代碼，建立與命令和控制服務器的代理連接，并創建Web請求以提取更多PowerShell代碼。下載的模塊之一是收集功能，用于在目標系統上執行偵察并禁用其某些反惡意軟件功能。

該模塊中的功能之一旨在通過更改其在內存中的代碼來禁用Microsoft Windows的反惡意軟件掃描接口（AMSI）提供程序。后門程序使用腳本將Base64編碼的DLL加載到內存中，然后執行PowerShell代碼，該PowerShell代碼調用C＃代碼，調用C＃代碼以調用DLL的方法來修補內核內存中已經存在的AMSI庫的副本。在我們分析期間發現的另一個模塊中重復此代碼：

LockBit actor用于嘗試“修補” AMSI的腳本的一部分。

后門下載的另一個模塊檢查反惡意軟件和指示虛擬機正在虛擬機上運行的工件，還檢查可能指示系統具有更大價值的軟件-使用正則表達式查找稅金和點銷售軟件，特定的Web瀏覽器和其他軟件：

通過LockBit后門下載的腳本中的VM檢測功能。

在WIndows注冊表中搜索LockBit攻擊者感興趣的軟件的代碼。

正則表達式解析本地Windows注冊表，查找與以下關鍵字匹配的內容：

當且僅當這些檢查生成的指紋表明攻擊者正在尋找系統時，C2服務器才會發回執行附加代碼的命令。

Wrecking crew

根據C2返回的響應，后門可以執行由數字值指定的許多任務。它們包括簡單地強制注銷，獲取哈希表以明顯破解密碼破解，嘗試配置VNC連接以及嘗試創建IPSEC VPN隧道。這些任務是使用C2下推的變量和模塊執行的，這些模塊的大部分功能難以理解。

LockBit使用的檢測到的后門腳本

在我們分析的攻擊中，使用PowerShell后門啟動Windows管理接口提供程序主機（WmiPrvSE.exe）。防火墻規則被配置為允許通過創建精心制作的Windows服務，將WMI命令從服務器（最初是被入侵的系統）傳遞到系統。

然后，攻擊者通過WMI命令無文件啟動了勒索軟件，而沒有在目標系統的磁盤上丟下單個文件組件。在一種情況下，WMI命令使用端口8530返回到最初受到破壞的服務器-Windows Server Update Service使用的端口。該服務器正在運行Internet Information Server，但從未完全配置為運行WSUS。服務器上的.ASP文件包含一個密鑰，該密鑰已加載到內存中，并用于通過Dropper代碼解鎖其他操作并觸發勒索軟件。

在WMI上五分鐘之內，所有目標都被擊中。在勒索軟件部署過程中，擦除了用于分發勒索軟件的服務器端文件以及目標系統和服務器本身上的大多數事件日志。Sophos Intercept X阻止了對其所安裝系統的攻擊，但其他系統的運行情況也不盡如人意。

運動目標

看到另一個勒索軟件運營商正在使用來自攻擊性安全工具世界的經過重新設計的代碼，這不足為奇-我們最近看到Ryuk使用Cobalt Strike開發后的工具取得了巨大的效果。PowerShell Empire易于修改和擴展，并且LockBit成員似乎僅通過修改現有Empire模塊就能夠構建一整套混淆工具。

勒索軟件參與者想要針對AMSI（也就是許多反惡意軟件工具（包括Sophos’）用來監視Windows 10上運行的潛在惡意進程的界面）的目標也就不足為奇了。通過結合使用本機工具，逃避日志，加上AMSI的盲目性，一旦他們建立了立足點，LockBit團伙就越來越難以發現和擊敗他們的攻擊。

抵御這類勒索軟件攻擊者的唯一方法是進行深度防御，并在所有資產中實施一致的惡意軟件保護。無法掌控網絡上公開哪些服務，因此很難對此類威脅進行建模。而且，如果服務配置不正確，攻擊者很容易將其用于惡意目的。

Sophos檢測到這些濫用PowerShell和LockBit勒索軟件的行為。這些攻擊的IOC列表發布在此處的Sophos GitHub上。