LockBit Ransomware Group 利用 BlackMatter 功能增強了其最新變體 LockBit 3.0

2022 年 3 月，也就是 LockBit 2.0首次出現不到一年后，研究人員發現了即將推出的 LockBit勒索軟件新變種。 LockBit 3.0，又名 “LockBit Black”，要到 6 月下旬才會發布，這與該組織新的泄密站點和漏洞賞金計劃的推出相吻合。此后，一位研究人員分享了 LockBit 3.0 的樣本，以及他對新變體的初步分析。

使用加殼標識符實用程序 Detect It Easy，我們發現這個特定的 LockBit 3.0 樣本是一個 Win32 .exe 文件，其中包含多個部分，由未知的加殼器封裝（圖 1）。根據樣本的原始來源，惡意軟件使用此參數執行：

{04830965-76E6-6A9A-8EE1-6AF7499C1D08}.exe -k LocalServiceNetworkRestricted -pass db66023ab2abcb9957fb01ed50cdfa6a

LockBit 3.0 示例隨后會刪除一個 .ico 文件，該文件的文件名與附加到 %PROGRAMDATA% 文件夾中加密文件的文件名相同（圖 2）。

圖 1. LockBit 3.0 的文件屬性

圖 2. %PROGRAMDATA% 文件夾中的 .ico 文件

作為其加密過程的一部分，LockBit 3.0 附加了擴展名HLJkNskOq（圖 3）并將加密文件的圖標更改為上述 .ico 文件的圖標。

圖 3. 帶有新文件名和擴展名的加密文件，以及 LockBit 的贖金記錄

勒索軟件隨后放棄了其勒索票據（圖 4），其中引用了“Ilon Musk”和歐盟的通用數據保護條例 (GDPR)。最后，它會更改受害者機器的壁紙，以通知他們勒索軟件攻擊（圖 5）。

圖 4. LockBit 3.0 贖金記錄的內容

圖 5 LockBit 3.0 應用的桌面壁紙

與 BlackMatter 勒索軟件的相似之處

研究人員指出，LockBit 3.0 的部分代碼似乎是從BlackMatter 勒索軟件中借用的，因此綽號 LockBit Black。同樣，我們在調試 LockBit 3.0 示例期間發現 BlackMatter 和新的 LockBit 變體之間存在相似之處。從我們對解壓樣本的檢查和研究員Chuong Dong提供的分析中，我們發現 LockBit 3.0 需要一個 pass 參數來解密其主程序（圖 6）。已經觀察到像 Egregor 等其他勒索軟件系列表現出相同的行為，其中需要參數才能繼續執行該例程。如果參數不可用，這會使二進制文件更難反轉。

圖 6. 使用 -pass 參數解密部分

LockBit 3.0 通過對 DLL 的 API 名稱進行散列處理，然后將其與勒索軟件所需的 API 列表進行比較來執行 API 收集（圖 7）。此例程與 BlackMatter 的例程相同（圖 8），因為用于重命名 BlackMatter API的外部可用腳本也適用于 LockBit 3.0（圖 9 和 10）。

圖 7. LockBit 3.0 的 API 收集例程

圖 8. BlackMatter 的 API 收集例程

圖 9. LockBit 3.0 用于重命名 API 的 XOR 鍵

圖 10. BlackMatter 用于重命名 API 的 XOR 密鑰

LockBit 3.0 不是直接調用獲取的 API 的地址，而是實現了一個蹦床指針（圖 11），以轉到包含反匯編代碼的已分配堆，然后該反匯編代碼將跳轉到NtTerminateProcess API 的 API 地址（圖 12）。堆中包含的代碼是從這組代碼中隨機選擇的：

隨機數 ROR
隨機數 ROL
異或鍵
通過隨機數 ROR，然后異或到密鑰
ROL 隨機數，然后異或到密鑰

圖 11. LockBit 3.0 的蹦床指針代碼

圖 12. LockBit 3.0 對 NtTerminateProcess API 的蹦床調用

LockBit 3.0 和 BlackMatter 也實現了相同的反調試技術：兩者都通過NtSetThreadInformation API（圖 13）將線程信息設置為ThreadHideFromDebugger (0x11)，以在此線程上放置斷點時導致任何調試器崩潰。

圖 13. 通過 NtSetThreatInformation 的 ThreadHideFromDebugger

與 BlackMatter 一樣，LockBit 3.0 在使用 API 時使用線程而不是直接調用 API，這可能是為了讓研究人員更難分析。它使用的字符串使用簡單的按位 XOR 例程（圖 14）、按位 XOR 和 NOT 例程（圖 15）或涉及線性同余生成器 (LCG) 算法以生成偽隨機密鑰的解密例程（圖16）。這也類似于 BlackMatter 的操作方式，除了添加了按位 XOR 和 NOT 例程。

圖 14. LockBit 3.0 用于字符串解密的按位異或例程

圖 15. LockBit 3.0 的按位 XOR 和 NOT 用于字符串解密

圖 16. LockBit 的 3.0 字符串解密使用 LCG 算法

LockBit 3.0 的配置（表 1）使用相同的 XOR 例程和從 LCG 偽隨機數生成器獲得的密鑰進行解密，然后使用稱為 APLib 的壓縮庫進行解壓縮。

表 1. LockBit 3.0 的配置列表

LockBit 3.0 還會檢查受害機器的 UI 語言，以避免用這些語言感染機器：

阿拉伯語（敘利亞）
亞美尼亞語（亞美尼亞）
阿塞拜疆語（西里爾語阿塞拜疆）
阿塞拜疆語（拉丁語阿塞拜疆）
白俄羅斯語（白俄羅斯）
格魯吉亞語（格魯吉亞）
哈薩克語（哈薩克斯坦）
吉爾吉斯（吉爾吉斯斯坦）
羅馬尼亞語（摩爾多瓦）
俄語（摩爾多瓦）
俄語（俄羅斯）
塔吉克語（西里爾塔吉克斯坦）
土庫曼（土庫曼斯坦）
韃靼語（俄羅斯）
烏克蘭語（烏克蘭）
烏茲別克語（西里爾文烏茲別克斯坦）
烏茲別克語（拉丁烏茲別克斯坦）

LockBit 3.0 還保留了這些 BlackMatter 例程用于提權：

使用UACMe的繞過用戶賬戶控制（UAC）的方法，即使用dllhost.exe下的ICMLuaUtil COM接口
復制Explorer.exe令牌以供自己使用
執行 32 位或 64 位 shellcode 注入以提升其令牌

LockBit 3.0 和 BlackMatter 都用作加密文件擴展名、贖金票據名稱以及壁紙和圖標名稱的字符串是 Base64 編碼的哈希（圖 17）。然而，這兩種勒索軟件之間的一個關鍵區別在于，LockBit 3.0 選擇使用嵌入在其配置中的 RSA 公鑰并使用 MD5 對其進行哈希處理，而 BlackMatter 使用使用相同算法對 API 進行哈希處理的 MachineGUID。這使得所有受相同樣本感染的機器的字符串相似，這可能是 LockBit 的運營商試圖讓他們更容易識別加密文件需要哪個 RSA 私鑰對。

圖 17. BlackMatter（左）和 LockBit 3.0（右）的字符串生成

與 BlackMatter 一樣，LockBit 3.0 也執行以下例程：

嘗試使用其配置列表中的憑據登錄，以確定受感染的系統是否是域管理員的一部分，它將用于以后的例程
終止并從其配置列表中刪除進程和服務，一個類似于 BlackMatter 的例程
擦除每個驅動器的回收站文件夾
檢查計算機名稱哈希列表以避免從其配置列表中
如果設置了標志，則從其配置列表連接到 C&C 服務器
如果在其配置標志中設置，則加密網絡共享和 Exchange 郵箱
從其配置列表中獲取要避免的文件、文件夾和擴展名的列表
加密 .lnk 文件時使用尖頭文件
在任何可用的打印機上打印贖金記錄并修改桌面壁紙
使用與 BlackMatter 相同的加密算法

LockBit 3.0 對卷影副本的刪除（圖 18）顯然是從 BlackMatter 的代碼中刪除的，因為這是使用 Windows Management Instrumentation (WMI) 通過 COM 對象執行的，而不是 LockBit 2.0 對vssadmin.exe的使用。

圖 18. LockBit 3.0 通過 WMI 刪除卷影副本

僅當提供特定參數時，此最新的 LockBit 迭代才會執行一些例程。LockBit 3.0 只接受表 2 中列出的參數，而 BlackMatter 只接受 -safe 、 -wall和-path參數。

表 2. LockBit 3.0 接受的參數列表

新的 LockBit 變體使用散列并基于代碼檢查參數。它旨在僅從參數中執行一個例程，但-pass需要在檢查其他參數之前執行。如果提供了-wall參數，打印勒索信和更改受害者機器壁紙的例程也類似于 BlackMatter 的例程。與 BlackMatter 一樣，只要提供了 -safe 參數，LockBit 3.0 也可以在安全模式下重新啟動并通過 RunOnce 注冊表執行。

但是，它們的配置標志之間有一個關鍵區別：BlackMatter 只有 9 個標志，而 LockBit 3.0 有 24 個，詳見表 3。

表 3. 可以在 LockBit 3.0 的配置中設置的標志

第三個 LockBit 版本的一個值得注意的行為是它的文件刪除技術：它不使用cmd.exe執行將執行刪除的批處理文件或命令，而是刪除并執行從二進制文件中解密的 .tmp 文件。但是，它保留了 LockBit 2.0 的一些功能，例如早期版本通過組策略更新橫向移動的能力，只要提供了-gspd參數。

執行的 .tmp 文件會覆蓋勒索軟件二進制文件的內容，然后多次重命名二進制文件（圖 19），新文件名基于原始文件名的長度。例如，一個名為1.exe的文件，它有五個字符（包括文件擴展名），被重命名為AAAAA，然后是BBBBB，直到ZZZZZ。重命名文件后，LockBit 3.0 最終將其刪除（圖 20）。該例程可能是 LockBit 勒索軟件組織試圖避免通過取證工具進行恢復并通過完全刪除勒索軟件的任何痕跡來掩蓋其蹤跡的嘗試。

圖 19. LockBit 3.0 多次重命名勒索軟件文件

圖 20. LockBit 3.0 在反復重命名后刪除勒索軟件文件

VirusTotal 上的 LockBit 3.0

一位研究人員最近在 VirusTotal 上發現了另一個 LockBit 3.0 樣本（圖 21），在撰寫本文時檢測到了 19 個。此特定示例是一個 PowerShell 腳本，其中包含兩層混淆代碼（圖 22 和 23）。在對腳本進行去混淆之后（圖 24），我們發現 LockBit 3.0 能夠使用與 BlackMatter 自己的 PowerShell 代碼（圖 26）相同的代碼，通過反射加載將 DLL 注入內存（圖 25）。

圖 21. 截至 2022 年 7 月 21 日在 VirusTotal 上發現的 LockBit 3.0 樣本

圖 22. LockBit 3.0 的第一層混淆代碼

圖 23. LockBit 3.0 的第二層混淆代碼

圖 24. LockBit 3.0 的反混淆 PowerShell 腳本

圖 25. LockBit 3.0 的主要功能

圖 26. BlackMatter 的主要功能

此特定示例具有通過 Base64 壓縮和加密的有效負載（圖 27）。為了訪問它，我們修改了腳本以轉儲有效負載而不是執行它（圖 28）。通過轉儲有效負載，我們能夠獲得 LockBit 3.0 的主要二進制文件（圖 29）。

執行時，該腳本表現出與之前發現的 LockBit 3.0 示例相同的行為。此特定示例將19MqZqZ0附加到加密文件的文件名（圖 30）。

圖 27. LockBit 3.0 的有效負載

圖 28. 轉儲 LockBit 3.0 的有效負載

圖 29. LockBit 3.0 的主要二進制文件

圖 30. LockBit 3.0 的加密文件，其名稱后附有 19MqZqZ0

此特定 LockBit 3.0 示例的有效負載僅檢查三個散列參數（圖 31），而之前的 LockBit 3.0 示例檢查八個。它的 DLL 有效負載是反射式加載的，其通過管理共享和組策略傳播例程的代碼是為 PE（便攜式可執行文件）二進制文件設計的，而不是為 PowerShell 腳本設計的，這可能解釋了為什么某些例程不起作用。另一種可能性是 LockBit 3.0 的勒索軟件構建器可能具有禁用某些例程的選項。即使檢查了-pass參數，這個帶有 PowerShell 腳本的 LockBit 3.0 示例也不需要傳遞“密鑰”來運行，盡管它的其余例程與上述帶有 Win32 的示例中的例程相同。 exe文件。

圖 31. LockBit 3.0 示例中帶有 PowerShell 腳本的散列參數

鎖定勒索軟件攻擊

LockBit 勒索軟件團伙在 2022 年第一季度領導了勒索軟件即服務 (Raas) 領域，自報成功進行了 220 次 RaaS 和勒索攻擊。據報道，1 月份發生了一起頭條新聞攻擊，在此期間 LockBit 運營商聲稱已經違反了法國司法部。考慮到 LockBit 最近聲名狼藉，這可以解釋這兩種勒索軟件之間的許多相似之處，如果 BlackMatter 的一些附屬機構加入了 LockBit 組織的行列也就不足為奇了。

隨著這個最新變種的發布——以及 LockBit 的漏洞賞金計劃（獎勵其附屬機構）的推出——我們預計 LockBit 勒索軟件組織在未來幾天會更加活躍。我們建議組織和最終用戶對這種新變種保持警惕，特別是因為漏洞賞金計劃可能會幫助運營商使他們的勒索軟件變得更加強大。降低勒索軟件攻擊風險的最佳實踐包括：

遵循 3-2-1 規則，其中涉及以兩種不同格式備份文件的三份副本，其中一份副本存儲在異地。這是一種預防措施，可避免勒索軟件攻擊時數據丟失。
對社會工程電子郵件保持警惕，以降低勒索軟件感染的風險，因為勒索軟件通常通過惡意垃圾郵件附件傳播。
使應用程序和程序保持最新。定期打補丁可確保及時解決勒索軟件攻擊者可作為入口點利用的軟件漏洞。

組織可以從多層方法中受益，這種方法可以幫助保護系統的可能入口點（端點、電子郵件、Web 和網絡）。趨勢科技提供了一套安全解決方案，可以檢測惡意組件和可疑行為，并改善企業的安全狀況。Trend Micro Vision One?提供多層保護和行為檢測，有助于在勒索軟件感染造成不可逆轉的損害之前盡早阻止系統中的可疑行為。Trend Micro? Deep Discovery? Email Inspector 使用自定義沙盒和高級分析技術來阻止惡意電子郵件，包括作為勒索軟件常見入口點的網絡釣魚電子郵件。此外，趨勢科技 Apex One? 提供自動威脅檢測和響應，以保護端點免受更高級的問題，例如無文件威脅和勒索軟件。