十月勒索病毒态势 | 解密"锁得快、偷得快"的LockBit勒索软件
2022-11-30 16:58:9 Author: 微步在线研究响应中心(查看原文) 阅读量:21 收藏

1
概述

近日,微步情报局对10月份勒索态势监测发现,自从今年俄乌冲突以来,占据榜首的Conti勒索软件公开站队俄罗斯,引起了乌克兰成员的不满,导致Conti停止运营,而号称让“勒索软件再次伟大”的LockBit勒索软件地位已快速上升,顶替了Conti的榜首位置:

10月份监测发现已知勒索活动252起,其中LockBit3.0勒索软件57起,占比 22.62% 居首位,主要影响地区覆盖美洲、西欧和亚太地区;

  • LockBit使用自研AES+ECC 算法加密和StealBit数据窃取工具,以最快最稳定的优势成为全球最活跃的勒索病毒;

  • LockBit正在招募具有DDoS能力的成员,以作为一种勒索策略,打造三重勒索的模式;

  • LockBit组织具有“积极进取”的精神,是首个引入漏洞赏金计划来完善自身功能的勒索软件;

  • 微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 等均已支持对此次攻击事件和团伙的检测。

2
十月勒索态势分析
根据微步情报局对10月份全球勒索软件监测的数据统计,我们观察到共有17个勒索软件发起了252起攻击活动,其中最活跃的勒索软件为Lockbit3.0占据 22.26%(57)位居榜首,其次是Clop以18.65%(47)位居第二,Alphv(BlackCat)以 9.92%(25) 位居第三。主要活跃勒索软件一览:

LockBit3.0

Hive

Quantum

Bianlian

Everest

Alphv(BlackCat)

Ransomhouse

Snatch

Qilin

Shaoleaks

Blackbasta

Ransomexx

Lorenz

Clop

Blackbyte

Vicesociety

Ragnarlocker




                                          图示10月份流行勒索家族占比

我们对上月最活跃的LockBit3.0勒索家族进行针对性分析,跟传统的勒索软件一样,LockBit尽量的避开了前苏联国家和地区,受害者最多的地区分别为美洲、西欧和亚太地区。

在十月我们观察到的攻击活动中,实体制造业受到LockBit3.0的攻击最多,其次是教育与医疗行业。LockBit的成员在接受采访时曾表示,他们是有道德准则的组织,不会对医疗保健、教育等行业进行攻击。但是行动证明,LockBit招募的下级团伙中,并没有很好的遵守“武德”,目前仍能检测到针对其“豁免”行业的攻击活动。相关所谓的“豁免”行业的企业不应该相信此类声明而放松警惕,在绝对的利益面前,黑客的“道德准则”如纸一般单薄。

图示对LockBit组织采访纪要

3
  "让勒索软件再次伟大”的LockBit

3.1家族简介

LockBit勒索病毒首次攻击于2019年9月被发现,最开始被称作为ABCD勒索病毒,因为它加密后的文件后缀名为abcd,随后它加密后的文件后缀修改为lockbit,并被更名为LockBit勒索病毒,于2021年6月该勒索病毒推出了它的更新版本LockBit2.0,并加入了磁盘卷影和日志文件删除等新功能,同时还推出了它的专用窃密木马StealBit,对受害者进行双重勒索攻击。

自2022.3月微软发现LockBit2.0存在代码缺陷可以实现文件解密后,LockBit团伙于2022年6月底发布了3.0版本的勒索木马(又名LockBit Black),并向研究人员提供“漏洞赏金”计划,以此来完善自身功能。

自今年观察到的攻击活动来说,LockBit也正如它的“宏愿”一般,号称自2019年以来世界上最快最稳定的勒索病毒,成为全球最活跃的勒索病毒。

3.2家族画像

团伙画像

特点

描述

平台

Windows

攻击目标

金融、专业服务、制造和建筑行业

攻击地区

美洲、西欧和亚太地区

攻击向量

Web组件漏洞、弱口令、钓鱼邮件

武器库

Psexec、nmap、Zmap、StealBit、Filezilla、TOX messenger、ADExplorer

支持解密

勒索后缀

.abcd、.lockbit、.lock2bits、扩展名改为随机9位字符

勒索信

Restore-My-Files.txt、{9}. README.txt (QUh2IBhbp.README.txt)

3.3技术特点

LockBit能在今年快速占领勒索行业的“头把交椅”的原因,很大程度上依赖于他们自己引以为傲的“速度”上,正所谓“天下武功,唯快不破”。LockBit号称在加密速度以及窃密速度上,为勒索之最,能够快速完成攻击,受到了勒索附属组织的青睐。

锁得快

LockBit号称是世界上加密速度最快的勒索软件,采用自己设计的AES+ECC算法,加密时使用多线程,每次仅加密每个文件的前4KB。根据其洋葱网络上的博客数据显示,Lockbit以每秒373M的速度位列所有勒索病毒的第一名,加密100GB的文件仅需要4分半钟。
偷得快
现代的勒索软件中,除了加密数据外还会采取多重勒索模式,即偷取受害主机上的用户数据,达到双重勒索的目的。除了使用商业软件“Rclone”、“MEGASync”外,LockBit还开发了自己独有的数据窃取工具“StealBit”提供给附属团伙,以作为招募附属计划的一部分。
StealBit 使用 Microsoft I/O完成端口模型,以最大限度地提高数据泄露活动的整体效率。例如,StealBit 将多个文件内容的泄露并行化,以缩短整体泄露时间跨度。这对勒索软件运营商来说很重要,因为快速的数据泄露会减少在此过程中被发现的机会。LockBit将StealBit与传统数据传输软件进行比较,以此来证明StealBit在数据窃取方面更胜一筹:

3.4完善的基础设施

2022年8月初,LockBit在其数据泄露网站上公布了安全公司“Entrust”的数据,随后LockBit的运营网站因遭受到了DDoS攻击而导致停止运行。研究人员普遍认为此次针对LockBit的DDoS攻击为Entrust的报复行动。此次行动带来了一定的效果,LockBit下架了Entrust数据的公开途径,并转为私下分享。

不久之后,LockBit重新开展业务,声称拥有更强大的基础设施,可以防御DDos的攻击,并且开始招募DDoS选手,试图将DDoS作为一种勒索策略,打造三重勒索的模式。

变身归来的LockBit拥有了9台博客网站及其镜像、24台展示入侵证据的文件网站及其镜像以及9台与受害者交流的聊天网站及其镜像:

      

3.5漏洞赏金计划

在2022年3月,微软检测和响应团队 (DART) 发现LockBit勒索软件中有代码bug,可以让安全研究人员对其代码进行逆向分析并尝试对加密的文件进行数据恢复。LockBit作者开始在3.0版本添加一些旨在阻止研究人员进行分析的新功能:
1.添加命令行参数“-pass”带入密码执行勒索程序;
2.成为第一个提供漏洞赏金计划的勒索软件团伙,向提供LockBit漏洞缺陷的人员提供1000至100万美元的奖励。
以下是LockBit3.0提供赏金的漏洞类别:
漏洞类别
描述
网站Bug
LockBit发布网站中的XSS、mysql注入、GetShell等漏洞缺陷,将根据Bug的严重程度付费,主要目的是防止通过Bugs网站获取解密器,以及访问历史与加密公司的通信。
加密Bug
勒索软件加密期间的缺陷,包括加密行为导致的文件损坏或在没有解密器的情况下进行文件解密。
有趣的idea
我们为idea付款,请写信给我们如何改进我们的网站和我们的软件,我们的竞争对手有什么有趣的地方是我们没有的?
Doxing
向任何能识别或有追踪方法能找到联盟计划中的任何成员,支付100w美元的门罗币或比特币。
TOX messenger
TOX messenger 的漏洞,允许您拦截通信、运行恶意软件、确定对话者的 IP 地址和其他有趣的漏洞。
Tor 网络
任何有助于在洋葱域上获取安装站点的服务器的 IP 地址的漏洞,以及获得对我们服务器的 root 访问权限。

4

        感染链分析

4.1感染现象

被感染主机现象为:除系统必须文件及已启动进程占用文件外,其余文件均被非法加密成后缀为“.QUh2IBhbp”的文件,并在被加密文件当前目录下生成QUh2IBhbp.README.txt勒索信文件。

4.2入侵分析

近期,微步在线接到客户LockBit勒索木马入侵排查需求,经过微步情报局工程师排查分析,得出如下结论:
此次勒索事件,主要使用的黑客工具如下:
  • ADExplorer:该工具是一款域内信息查看器,它能够列出域组织架构,用户帐户,计算机帐户等,它可以帮助你寻找特权用户和数据库服务器等敏感目标。
  • nmap:全称Network Mapper,最早是Linux下的网络扫描和嗅探工具包是一个网络连接端扫描软件,用来扫描网上电脑开放的网络连接端。
  • Psexec:PsExec 是一个轻型的 telnet 替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与控制台应用程序相当的完全交互性。
  • Zmap:ZMap是一款扫描软件,由Durumeric领导密歇根大学研究团队开发。这一工具能在一个小时内扫描整个公共互联网,显示近40亿在线设备的信息。扫描结果能显示哪些网站无法防御特定漏洞。
初始访问
通过微步情报局工程师排查发现,最早被加密的打印机服务器(Windows Server)上被植入黑客工具“ADExplorer.exe”,利用微步在线日志提取工具对该终端进行日志提取分析,发现IP地址192.168.0.250(SSLVPN转化后的NAT地址)曾对该打印机服务器发起扫描爆破以及nmap扫描行为。经过深入分析,该VPN存在未修复的任意账户读取漏洞,攻击者从而利用该漏洞拿到了VPN账户,并以此进入内网,开始进一步的信息收集。
内网横移
当攻击者利用获取的VPN账户进入内网后,通过信息收集随后锁定了域内的打印机服务器,对其发起攻击,以此建立内网横移的据点:
1.对打印机使用nmap扫描并进行爆破登录;
2.登录打印机账户后,投放Psexec、Zmap、ADExplorer.exe等工具进行内网信息收集;
3.获取域管账户hash,进行pth传递攻击;
4.综合日志分析,后续攻击者利用PsExec工具 + 域管hash向目标下发了勒索病毒并配合计划任务进行加密操作。

总结
综上分析,LockBit3.0勒索利用VPN设备任意账户读取漏洞进入内网,对内网环境进行了大量扫描探测和信息收集,随即拿到打印机服务器本地账户权限作为据点,并逐渐摸清域环境脉络,提升到域管理员权限,逐步定位到域控、Exchange邮件服务器、共享文件服务器等多个核心服务器,最终利用Psexec配合域管哈希对内网多个员工终端进行了批量横移 + 勒索投递操作。

5

       样本分析

5.1StealBit

StealBit 恶意软件是 LockBit 威胁组织开发和维护的数据(文件内容)泄露工具。StealBit 将文件内容泄露到远程攻击者控制的端点以进行双重勒索。

5.1.1基本信息

Sha256
3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d
SHA1
63632224f977aaaa1c7d88be65cf16878b4bef56
MD5
9b905a490a98cd8edf2e4b09ac8676ab
文件类型
PE32 executable (GUI) Intel 80386, for MS Windows
文件大小
52.50KB
文件名称
Stealbit.exe
Sha256
3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

5.1.2自动化分析

微步云沙箱、X情报社区等安全产品已全面支持检测该木马。图示微步云沙箱(S)通过对木马的动静态分析,结合威胁情报已支持对该家族木马的检测:

5.1.3人工分析

StealBit支持下列的命令行参数:
参数
描述
默认值

此参数指定StealBit要泄露的文件路径或文件夹
None
-hide/-h yes/y | no/n
此参数控制 StealBit 的图形用户界面的可见性
no/n: StealBit displays windows
-delete/-d yes/y | no/n
在 StealBit 执行完成时从受感染系统的文件系统中删除
no/n: StealBit does not self-delete
-net/-n
-once/-o
此参数将 StealBit 配置为以指定速率泄露文件内容,其中速率是 15 秒内以 KB、MB 或 GB 为单位的泄露文件内容量
unlim: there is no file content exfiltration rate
-skipfiles yes/y | no/n
此参数将 StealBit 配置为不泄露具有特定文件扩展名 ( no/n ) 的文件的内容
yes/y: StealBit does not consider the filename extensions of files as a criterion for file content exfiltration
-skipfolders yes/y | no/n
此参数将 StealBit 配置为不泄露放置在特定文件夹 ( no/n ) 中的文件的内容
yes/y: StealBit does not consider folders as a criterion for file content exfiltration
-file/-f
此参数将 StealBit 配置为仅泄露大小等于或小于以 KB、MB 或 GB 为单位的指定文件大小的文件的内容
unlim: there is no maximum file size for file content exfiltration
StealBit在PE文件中以加密的形式存储着传输文件的攻击者服务器、攻击活动ID等config信息,采取了xor key的方式进行解密。其解密函数如下:
   
当StealBit与任意一个C2建立连接后,会读取命令行指定的文件进行数据传输,为了使传输尽可能的块,其使用HTTP PUT方法进行该操作,其HTTP请求的字段如下:
PUT
HTTP PUT方法
File Hash
要传输到服务器上的文件hash
HTTP
HTTP方法
DAV2
请求正文以DAV2开头
ID
攻击活动的标志ID
FileName
被传输的文件名
File Content
传输的文件内容

5.2LockBit3.0

自2022.3月微软发现LockBit2.0存在代码缺陷可以实现文件解密后,LockBit团伙于2022年6月底发布了3.0版本的勒索木马,此处分析示例为LockBit 3.0版本。

5.2.1基本信息

Sha256
80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce
SHA1
f2a72bee623659d3ba16b365024020868246d901
MD5
38745539b71cf201bb502437f891d799
文件类型
PE32 executable (GUI) Intel 80386, for MS Windows
文件大小
162.00KB
文件名称
80e8defa5377018b_1.exe

5.2.2自动化分析

微步云沙箱、X情报社区等安全产品已全面支持检测该木马。图示微步云沙箱(S)通过对木马的动静态分析,结合威胁情报已支持对该家族木马的检测:

5.2.3人工分析

LockBit3.0在执行的时候,需要检查执行参数是否正确,如本次分析的示例样本,正确执行参数为“-pass db66023ab2abcb9957fb01ed50cdfa6a”。如下图所示微步云沙箱进程详情:

当参数检查通过后,对自身区段进行自解密,deocode出真正的恶意代码:

LockBit3.0外层使用包装器,其导入表几乎为空,大多数 API 函数的调用是通过调用解密函数来动态解析的,该函数使用 XOR 算法对 API 函数进行解密,本次样本中xor key为0x4506DFCA:

LockBit3.0还会通过使用未记录的值 THREAD_INFORMATION_CLASS::ThreadHideFromDebugger (0x11) 调用 NtSetInformationThread API 来执行线程隐藏来达到反调试的效果:

勒索软件通过 Windows API 调用 GetSystemDefaultUILanguage 和 GetUserDefaultUILanguage 对系统和当前用户执行默认语言检查。如果语言代码标识符与指定的标识符匹配,则程序关闭。新版本似乎将国家名单扩大到还包括叙利亚:
地区ID
地区
419
Russian 
422
Ukrainian 
423
Belarusian 
428
Tajik 
42B
Armenian 
42C
Azerbaijani (Latin)
437
Georgian  
43F
Kazakh 
440
Kyrgyz  
442
Turkmen  
443
Uzbek (Latin)
444
Tatar 
818
Romanian (Moldova)
819
Russian (Moldova) 
82C
Azerbaijani (Cyrillic)
843
Uzbek (Cyrillic)
2801
Arabic (Syria) 
除了辨别用户地区外,勒索软件还会维护着自身的”黑名单”,用于结束指定的服务以及进程,防止这些进程妨碍勒索操作。
服务
进程
vss
sql 
sql 
oracle 
svc$ 
ocssd 
memtas
dbsnmp 
mepocs
synctime 
msexchange 
agntsvc 
sophos
isqlplussvc 
veeam 
xfssvccon 
backup 
mydesktopservice
GxVss 
ocautoupds 
GxBlr 
ncsvc 
GxFWD
firefox 
GxCVD 
tbirdconfig 
GxCIMgr
mydesktopqos 

ocomm 

dbeng50 

sqbcoreservice 

excel 

infopath 

msaccess 

mspub 

onenote 

outlook 

powerpnt 

steam 

thebat 

thunderbird 

visio 

winword 

wordpad 

notepad 
为了禁用 Windows Defender,Lockbit3.0将注册表'HKLMSoftware\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-Windows Defender/Operational\Enabled' 设置为 '0' 并将 'ChannelAccess' 更改为 '(O :BAG:SYD:(A;;0x1;;;SY)(A;;0x5;;;BA)(A;;0x1;;;LA)'。
在启动加密过程之前,勒索软件会在%programdata%位置释放两个名为“ HLJkNskOq.ico ”和“ HLJkNskOq.bmp”的文件。并为扩展名“ HLJkNskOq”创建了一个“DefaultIcon”注册表项,用以更改了扩展名为“HLJkNskOq”的加密文件的图标。
注册表
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\HLJkNskOq\\DefaultIcon
Name
Default
Type
REG SZ
Data
C:\\ProgramData\\HLJkNskOq.ico
最后完成加密后附加扩展名“ .HLJkNskOq”,并更改文件的图标,如下所示。

最后,勒索软件使用systemparametersinfoW() API 函数利用文件“HLJkNskOq.bmp”更改受害者的壁纸。
6

       行动建议

1.LockBit勒索家族目前未公布解密工具,建议直接重置相关机器,并进行加固后重新上线。如需解密,可联系相关厂商尝试通过磁盘还原解密;
2.加强网络安全管理,对网络进行划域分级,并严格控制各个网络域之间的访问权限;
3.加强密码防护,强制使用请密码,并定期修改,多账户避免使用同一口令;其次提升员工安全意识,避免将敏感的账户/系统信息记录在公开平台或硬编码在github等互联网平台中;
4.关闭非必需的3389和445端口服务,防范主机失陷后继续内网传播感染,如需开启,建议加强ACL限制和认证;
5.及时关注外部威胁情报,及时对暴露在互联网上的服务进行升级更新,避免存在高危漏洞暴露在公网中,如现有的Exchange服务器由于版本过低,存在多个高危漏洞,随时都有被攻击入侵的风险;
6.对域内主机加强管控和防护,落实现有安全管理制度,包括但不限于基线加固、主机防护、流量审计、漏洞扫描等;
7.针对重要数据实施备份机制,并针对备份服务器做好权限控制及认证,防止服务器被勒索后同时影响备份机;
8.加强内外网的威胁监控尤其是失陷破坏及可疑的内网渗透行为,可通过微步在线TDP进行实时监控,及时发现风险;
9.对于来源不明的软件或者文档,可以上传微步云沙箱(http://s.threatbook.cn)进行多引擎查杀,该平台可进行免费多引擎查杀和样本分析;
10.开启主机日志服务并保存日志至安全审计分析设备,针对安全设备开展持续化的安全策略优化工作,将安全监控分析常态化。


点击下方,关注我们
第一时间获取最新的威胁情报


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247498128&idx=1&sn=cda87e0e973cb82ba50b15c225079cdc&chksm=cfca9a84f8bd13922412d3dac3e350fea0d68f609f58ef2364bfe529bcadff6c11b3f32a932a#rd
如有侵权请联系:admin#unsafe.sh