安全分析与研究
专注于全球恶意软件的分析与研究
前言
LockBit勒索病毒首次攻击于2019年9月被发现,最开始被称作为ABCD勒索病毒,因为它加密后的文件后缀名为abcd,随后它加密后的文件后缀修改为lockbit,并被更名为LockBit勒索病毒,与大多数主流勒索病毒黑客组织一样,以RAAS(Ransomware-as-a-service)平台模式运营,并于2021年6月该勒索病毒推出了它的更新版本LockBit2.0,并加入了磁盘卷影和日志文件删除等新功能,同时还推出了它的专用窃密木马StealBit,对受害者进行双重勒索攻击,它是继GandCrab、Sodinokibi(REvil)等勒索病毒之后,成为全球最活跃的勒索病毒,同时该勒索病毒也号称是加密速度最快的勒索病毒。
2022年6月,LockBit勒索病毒黑客组织再次完成升级,并于2022年7月推出LockBit3.0正式版本,LockBit3.0版本的勒索病毒又称为LockBit Black勒索病毒,最新版的勒索病毒主要在免杀方式又做了更进一步的加强,持续优化了安全软件的对抗能力,可以发现该勒索病毒开发人员不断在尝试和研究新的免杀攻击技术以逃避安全软件的检测,同时他们在LockBit3.0版本的暗网网站上还发布了漏洞赏金计划,邀请全球的安全研究人员、道德和不道德的黑客参与漏洞赏金计划,提交漏洞,报酬金额从1000美元到100万美元不等,最近该勒索病毒黑客组织在其暗网网站上不断公布新的受害者,勒索赎金从几万十几万美元到几百万美元不等,断断半个多月的时间,在其暗网网站上已经公布了几十个受害者了,不愧为全球最活跃的勒索病毒。
详细分析
1.该勒索病毒样本使用PowerShell脚本进行加载,原始脚本被高度混淆了,如下所示:
2.解混淆之后,执行如下脚本,所示:
3.解混淆后的脚本,两个数组存储核心代码,然后利用解密算法解密两个数组,然后执行解密的代码,如下所示:
4.解密第一个数组数据之后,是一个PowerShell加载程序,可以加载代码到进程中执行,如下所示:
5.解密第二个数组数据之后,是另外一个PowerShell加载程序,用于加载执行LockBit3.0勒索病毒Payload核心数据代码,如下所示:
6.将Payload的数据解密之后,就是LockBit3.0勒索病毒核心代码,如下所示:
7.动态调试该LockBit3.0勒索病毒代码,使用了各种混淆加密以及反调试技术,有兴趣的朋友可以自己调试分析一下,也可以参考此前的分析报告,如下所示:
8.LockBit3.0勒索病毒加密后的文件,如下所示:
9.生成的勒索提示信息文件名为随机动态字符串(19MqZqZ0s)+静态字符串(README).txt,内容如下所示:
威胁情报
HASH
00A50F67D713A45CEA6DC956C30042C1
总结
此前GandCrab、Sodinokibi等流行勒索病毒都曾利用PowerShell无文件攻击技术进行勒索攻击,笔者此前也写过一篇文章详细地介绍无文件勒索病毒攻击手法的文章,最近几年基于无文件攻击技术的网络犯罪活动越来越多,这些无文件恶意软件攻击技术被应用于勒索、挖矿、RAT远控、僵尸网络、APT攻击等,在过去的几年时间里面,无文件感染技术已经成为了终端安全的新威胁之一,有兴趣的朋友可以去参考笔者此前的文章,里面有详细的介绍。
勒索病毒攻击已经成为了全球最大的威胁之一,而且在未来几年里,勒索攻击会越来越多,同时随着APT组织的加入,勒索攻击的手法和技术也会越来越复杂,勒索病毒黑客组织不断在全球寻找新的攻击目标,他们的目标很简单也很单纯,就是为了搞钱,该观点在他们的勒索提示信息文件中已经明确表明了,如下所示:
安全的核心就是对抗,安全厂商与黑客组织的对抗,黑客组织不断利用新的攻击手法逃避安全厂商的追踪与检测,不管是在免杀技术的研究,还是在攻击手法和最新漏洞的利用,以及黑客组织的运营模式上面(RAAS,二重勒索、三重勒索、四重勒索等)黑客组织也都在不断升级更新,LockBit3.0在免杀方面做了很多新的尝试与研究,黑客组织为了获取巨大的利益都在不断的进步,安全研究人员更需要不断锻炼和提升自己的技术能力,更新自己的知识储备,与时俱进,同时还需要不断提升自身的安全认知水平,理解安全的本质,理解客户的真实需求,做安全是一个不断持续对抗的过程,没有尽头,因为黑客组织会一直存在,黑客攻击活动会一直发生,选择做安全其实就是选择一条“不归路”,永远都在路上。
笔者一直从事与恶意软件研究相关的工作,包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等,这些恶意软件家族涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS),笔者做安全研究的兴趣就是喜欢研究一些最新的恶意软件家族样本,跟踪国内外报道的各种安全事件中涉及到的攻击样本等,通过详细分析这些安全事件中涉及的样本、漏洞和攻击技巧等,可以了解全球黑客组织最新的攻击技术以及攻击活动趋势等,同时还可以推判出他们大概准备做什么,发起哪些攻击活动,以及客户可能会受到什么危害等,各位读者朋友如果有遇到什么新的恶意软件家族样本或最新的家族变种都可以私信发给笔者,感谢给笔者提供样本的朋友们!
做安全,不忘初心,与时俱进,方得始终!
安全分析与研究,专注于全球恶意软件的分析与研究,追踪全球黑客组织攻击活动,欢迎大家关注。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球各种流行恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究
心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!