全球多家大公司中招!!!近日瘋狂肆虐的勒索軟件LOCKBIT2.0深入分析 - 網安

臭名昭著的LOCKBIT 2.0勒索軟件組織在過去幾個月非常活躍，與該勒索軟件相關聯的威脅參與者 (TA) 使用勒索軟件即服務 (RaaS) 業務模型。LOCKBIT 2.0開發人員根據其附屬機構的需求定制勒索軟件變體，他們還提供各種面板和攻擊統計數據，為其附屬機構提供受害者管理功能。

我們近期報道了：全球財富500強咨詢公司埃森哲遭遇LOCKBIT 2.0勒索攻擊，昨天我們還發現了LOCKBIT 2.0張貼了中國領先的軟件和信服技術服務公司軟通動力疑似被勒索條目，目前截止發稿前倒計時即將結束，不排除LOCKBIT 2.0團隊即將放出被盜數據。

2021第一季度LOCKBIT 2.0排名勒索第三名

該惡意軟件使用雙重勒索技術迫使受害者支付贖金。通過這種技術，攻擊者可以竊取受害者的數據，然后他們繼續加密受害者系統上的數據。數據加密之后是要求贖金以換取解密器。如果受害者拒絕或無法支付贖金，他們就會威脅泄露數據。該勒索軟件以前稱為ABCD勒索軟件，因為用于加密文件的文件擴展名為 .abcd，現在這個勒索軟件使用的擴展名是 .lockbit。

圖1顯示了在TOR網絡中托管博客的LOCKBIT 2.0勒索軟件團伙。他們特別使用此博客來分享受害者列表和攻擊者從受影響系統中竊取的樣本數據的屏幕截圖。

圖1：LOCKBIT 2.0博客顯示受害者公司列表

與其他最近出現的RaaS團伙一樣，LOCKBIT 2.0也有一個聯盟計劃來吸引潛在的聯盟。圖2顯示了聯盟計劃頁面。

圖2：LOCKBIT 2.0伙伴計劃

與其競爭對手RaaS團伙相比，LockBit正試圖將自己定位為最快的加密器。他們列出了對100GB、10TB等數據集進行加密所花費的時間。圖3顯示了 LOCKBIT 2.0 與其他勒索軟件團伙的比較。

圖3：LOCKBIT 2.0與其他勒索軟件團伙的比較

此外，這個勒索軟件團伙在以前屬于蘇聯的國家/地區不起作用。該團伙還使用StealBIT、Metasploit Framework和Cobalt Strike等工具。

StealBIT是該團伙用于數據泄露的信息竊取程序。Metasploit Framework和Cobalt Strike 是滲透測試工具，用于模擬對復雜網絡的針對性攻擊。

圖4：LOCKBIT 2.0共享的其他附屬詳細信息

技術分析

我們對勒索軟件的靜態分析表明，該惡意軟件文件是在2021-07-26 13:04:01編譯的Windows x86架構圖形用戶界面 (GUI) 可執行文件，如圖5所示。

圖5：關于LOCKBIT 2.0 Ransomware的靜態信息

我們還發現惡意軟件只使用了幾個庫，如圖 6 所示。

圖6：勒索軟件使用的庫

此外，勒索軟件導入表中只有少數應用程序編程接口 (API)，如圖 7 所示。

圖7：導入表API列表

圖8顯示勒索軟件對用戶文檔文件進行了加密，并為其附加了 .lockbit 擴展名，同時還更改了所有加密文件的圖標。此外，勒索軟件還會在多個文件夾中放置勒索信。

圖8：勒索軟件加密后的加密文件和勒索信

圖9顯示了勒索信的內容，其中指示受害者如何聯系勒索軟件團伙。

圖9：贖金記錄的內容

勒索軟件還會篡改桌面背景壁紙，顯示額外的勒索軟件幫派信息，如下圖。

圖10：LOCKBIT 2.0篡改桌面壁紙

為了進一步了解勒索軟件，我們檢查了惡意軟件中存在哪些字符串符號。

圖11顯示了惡意軟件中存在的初始字符串的詳細信息。這些字符串表明惡意軟件可以使用輕量級目錄訪問協議 (LDAP) 查詢 Active Directory 域中的連接系統。在查詢字符串中，CN代表Common Name，OU代表Organization Unit，DC代表Domain Component。該信息可用于發現其他鏈接的網絡和系統。

圖11：為Microsoft Active Directory設置LDAP參數

如圖12所示，勒索軟件可以使用PowerShell命令查詢DC以獲取計算機列表。一旦收到列表，惡意軟件就可以在列出的系統上遠程調用GPUpdate命令。

圖12：用于搜索網絡中計算機的PowerShell命令

此外，勒索軟件還會檢查其他掛載的硬盤驅動器、網絡共享驅動器、VM共享文件夾，并使用taskkill.exe刪除正在運行的進程，如圖12所示。

圖13描述了勒索軟件可以將活動目錄環境中的策略更新推送到其他連接的系統。為了逃避檢測，勒索軟件還可以在正在運行的系統和遠程系統上禁用Windows Defender。

圖13：勒索軟件更改了Windows Defender策略

在運行勒索軟件時，我們觀察到它會將自身注入dllhost.exe，如圖14所示。

圖14：勒索軟件感染dllhost.exe

勒索軟件將其執行文件夾添加到系統變量的路徑中，如圖15所示。

圖15：惡意軟件在系統路徑中添加了其當前工作目錄

圖16顯示了勒索軟件正在尋找各種正在運行的服務，例如備份服務、數據庫相關應用程序以及圖15中所示的其他應用程序。如果發現系統中正在運行任何服務，勒索軟件就會將其殺死。勒索軟件使用OpenSCManager和OpenServiceA，如圖16所示。

圖16：勒索軟件搜索服務

下表顯示了勒索軟件搜索的其他服務列表：

DefWatch RTVscan tomcat6 ccEvtMgr sqlbrowser zhudongfangyu SavRoam SQLADHLP vmware-usbarbitator64 Sqlservr QBIDPService vmware-converter sqlagent Intuit.QuickBooks.FCS dbsrv12 sqladhlp QBCFMonitorService dbeng8 Culserver msmdsrv MSSQL$MICROSOFT##WID MSSQL$KAV_CS_ADMIN_KIT MSSQLServerADHelper100 msftesql-Exchange SQLAgent$KAV_CS_ADMIN_KIT MSSQL$SBSMONITORING MSSQL$SHAREPOINT MSSQLFDLauncher$SHAREPOINT SQLAgent$SBSMONITORING SQLAgent$SHAREPOINT MSSQL$VEEAMSQL2012 QBFCService QBVSS SQLAgent$VEEAMSQL2012 YooBackup YooIT SQLBrowser vss SQL SQLWriter svc$ PDVFSService FishbowlMySQL MSSQL memtas MSSQL$MICROSOFT##WID MSSQL$ mepocs MySQL57 sophos veeam MSSQL$MICROSOFT##SSEE backup MSSQLFDLauncher$SBSMONITORING

勒索軟件創建了一個共享文件夾，供VMWare傳播到其他系統，如圖17所示。

圖17：勒索軟件創建VMWare共享文件夾并刪除示例

LOCKBIT 2.0的加密操作與我們在其他勒索軟件組中觀察到的類似。操作流程如下所示。

圖18：常見的加密操作

結論

LOCKBIT 2.0是一種高度復雜的勒索軟件形式，它使用各種最先進的技術來執行勒索軟件操作。

當前和潛在的LOCKBIT 2.0受害者跨越多個領域，從 IT、服務到銀行。我們的研究表明，該組織的附屬機構會將該勒索軟件投放到已經受到攻擊的網絡中。

我們的建議

我們列出了一些基本的網絡安全最佳實踐，這些實踐創建了針對攻擊者的第一道控制線。我們建議我們的讀者遵循以下建議：

盡可能使用強密碼并強制執行多因素身份驗證。
盡可能以務實的方式在您的計算機、移動設備和其他連接的設備上打開自動軟件更新功能。
在您連接的設備上使用知名的防病毒和互聯網安全軟件包。
避免在未驗證其真實性的情況下打開不受信任的鏈接和電子郵件附件。
執行定期備份實踐并將這些備份保持離線或在單獨的網絡中。

妥協指標 (IoC)：

指標：
0545f842ca2eb77bcac0fd17d6d0a8c607d7dbc8669709f3096e5c1828e1c049
哈希：
SHA-256