LockBit勒索软件样本分析及针对定向勒索的防御思考
时间 : 2023年11月17日 来源: 小神童论坛网CERT
1.概述
近期发生了某金融机构遭到勒索攻击的事件。多方信息表示,该事件与LockBit勒索攻击组织存在密切关联[1]。小神童论坛网CERT用“存在密切关联”进行定性的原因是,LockBit是一个基于“勒索软件即服务”(RaaS)模式运营的攻击组织,其构建支撑勒索攻击的基础设施,包括研发发布勒索攻击恶意代码载荷、提供定制构造器、构建统一的勒索攻击提示、构建虚拟货币的支付通道,使各种攻击组织、个人均能依托其“服务”进行攻击作业,提供RaaS的组织和实施攻击者之间通过敲诈勒索或贩卖窃取数据获得的赃款进行分账。由于在“勒索即服务模式”中,“基础设施”提供方和实施攻击者通常不是同一组织和个体,甚至相互间是背靠背的,其支付是以比特币等加密数字货币来运行的,给事件全面溯源分析带来巨大的困难。
LockBit被评为2022年全球最活跃的勒索攻击组织,其面向Windows、Linux、macOS、以及VMware虚拟化平台等多种主机系统和目标平台研发勒索软件,其生成器通过简单交互即可完成勒索软件定制。LockBit勒索软件仅对被加密文件头部的前4K数据进行加密,因此加密速度明显快于全文件加密的其他勒索软件,由于在原文件对应扇区覆盖写入,受害者无法通过数据恢复的方式来还原未加密前的明文数据。该组织最早被发现于2019年9月,因其加密后的文件名后缀为.abcd,而被称为ABCD勒索软件;该组织在2021年6月发布了勒索软件2.0版本,增加了删除磁盘卷影和日志文件的功能,同时发布专属数据窃取工具StealBit,采用“威胁曝光(出售)企业数据+加密数据”双重勒索策略;2021年8月,该组织的攻击基础设施频谱增加了对DDoS攻击的支持;2022年6月勒索软件更新至3.0版本,由于3.0版本的部分代码与BlackMatter勒索软件代码重叠,因此LockBit 3.0又被称为LockBit Black。这反应出不同勒索攻击组织间可能存在的人员流动、能力交换等情况。使用LockBit RaaS实施攻击的相关组织进行了大量攻击作业,通过第三方获取访问凭证、漏洞武器化和搭载其他恶意软件等方式入侵至受害者系统后投放勒索软件,大量受害者遭受勒索与数据泄露,使LockBit成为目前最活跃的勒索攻击组织,甚至主动采取了传播和PR活动。
2.近年典型攻击事件
使用LockBit勒索组织RaaS服务的攻击者,主要通过第三方获取访问凭证、漏洞武器化和搭载其他恶意软件等方式实现对受害系统的初始访问,窃取数据文件后投放LockBit勒索软件实现加密。该组织附属成员较多,在其Tor网站几乎每天都有新增来自世界各地的受害者信息,自采用“威胁曝光企业数据+加密数据勒索”双重勒索策略以来,其Tor网站上共计发布2200余条受害企业信息,2023年截至目前已发布900余条受害企业信息,如附属成员和受害企业通过“私下谈判”的方式,则不会在Tor公开受害企业信息,也意味着实际受害企业数量会超过其公开发布过的受害企业数量。
表2-1 遭遇LockBit勒索攻击的典型事件清单
|
时间 |
受害单位 |
影响 |
|
2021年8月 |
爱尔兰IT咨询公司埃森哲 |
窃取约6 TB数据,要求支付5000万美元赎金 |
|
2022年1月 |
法国泰雷兹集团 |
部分数据被公开;同年11月再次遭受勒索攻击,公开窃取到的约9.5 GB数据 |
|
2022年2月 |
普利司通美洲分公司 |
公司暂停部分工作运营,受害系统数据被窃 |
|
2022年6月 |
美国数字安全公司Entrust |
部分数据被窃取 |
|
2022年7月 |
法国电信运营商La Poste Mobile |
导致部分系统关停,官方网站关停10余天,部分用户信息被公开 |
|
2022年10月 |
巴西利亚银行 |
部分数据被窃取,要求支付50 BTC赎金 |
|
2022年11月 |
德国大陆集团 |
窃取约40 GB数据,要求支付5000万美元赎金 |
|
2022年12月 |
美国加州财政部 |
窃取约76 GB数据 |
|
2023年1月 |
英国皇家邮政 |
国际出口服务中断,约45 GB数据被窃取,要求支付8000万美元赎金 |
|
2023年6月 |
台积电供应商擎昊科技 |
部分数据被窃取,要求支付7000万美元赎金 |
|
2023年8月 |
加拿大蒙特利尔市电力服务委员会 |
窃取约44 GB数据 |
|
2023年10月 |
美国波音航空公司 |
窃取约43 GB数据 |
3.攻击组织和对应攻击情况概览
表3-1 LockBit攻击组织基本情况
|
组织名称 |
LockBit |
|
组织曾用名 |
ABCD |
|
出现时间 |
2019年9月 |
|
典型突防方式 |
除钓鱼攻击外、第三方获取访问凭证、漏洞利用和搭载其他恶意软件 |
|
典型加密后缀 |
字母与数字随机组合的9位个人ID |
|
解密工具 |
暂未发现公开的解密工具 |
|
加密目标系统 |
Windows,Linux,MacOS,Vmware等 |
|
运营方式 |
勒索即服务,基于勒索赎金和销售 |
|
侵害模式 |
加密致瘫、窃密、DDoS干扰服务 |
|
常见针对行业 |
金融、服务、建筑、教育、IT、制造 |
|
常见国家/地区 |
美国、英国、德国、加拿大 |
|
是否多重组合勒索 |
是 |
|
勒索信样例 |
|
4.历史关联攻击活动的典型技战术行为图谱
依托LockBit RaaS基础设施开展勒索攻击的组织人员较多,作业风格又有不同差异,众多事件没有披露更多细节。对整个攻击生命周期的攻击入口、突防方式、横向移动、关键资产窃取路径等分析难以展开,我们通过目前掌握的线索对相关攻击常见战术和技术形成清单,并基于ATT&CK框架进行标注。
图4-1 LockBit相关勒索攻击的常见战术行为图谱
对应清单如下:
表4-1 LockBit相关勒索攻击的常见战术行为列表
|
ATT&CK阶段 |
具体行为 |
注释 |
|
初始访问 |
水坑攻击 |
在受害者经常访问的网站植入恶意代码 |
|
利用面向公众的应用程序 |
利用漏洞访问受害者系统,例如使用Citrix相关漏洞 |
|
|
利用外部远程服务 |
利用RDP访问受害者的网络 |
|
|
网络钓鱼 |
使用网络钓鱼和鱼叉式网络钓鱼来访问受害者的网络 |
|
|
利用有效账户 |
获取并滥用现有账户的凭据作为获得初始访问权限的手段 |
|
|
执行 |
利用命令和脚本解释器 |
使用批处理脚本来执行恶意命令 |
|
利用第三方软件部署工具 |
使用Chocolatey命令行包管理器部署 |
|
|
利用系统服务 |
使用PsExec来执行命令或有效负载 |
|
|
持久化 |
利用自动启动执行引导或登录 |
启用自动执行以实现持久性 |
|
有效账户 |
使用受损的用户账户来维持目标网络上的持久性 |
|
|
提权 |
滥用提升控制权限机制 |
在UACMe中使用ucmDccwCOM方法实现绕过UAC |
|
利用自动启动执行引导或登录 |
启用自动登录以实现提权 |
|
|
利用域策略修改 |
为横向移动创建组策略,并可以强制更新组策略 |
|
|
利用有效账户 |
使用受损的用户账户提权 |
|
|
防御规避 |
执行范围保护 |
输入正确的参数会解密主要组件或继续解密和解压缩数据 |
|
削弱防御机制 |
使用PCHunter、PowerTool和Process
Hacker等工具来禁用和卸载与安全软件有关的进程和服务 |
|
|
删除信标 |
清除Windows事件日志文件,勒索软件自删除 |
|
|
混淆文件或信息 |
将向其命令和控制(C2)发送加密的数据 |
|
|
凭证访问 |
暴力破解 |
利用VPN或RDP暴力破解实现初始访问 |
|
从存储密码的位置获取凭证 |
使用PasswordFox获取Firefox浏览器的密码 |
|
|
操作系统凭证转储 |
使用ExtPassword或LostMyPassword用于获取操作系统登录凭证 |
|
|
发现 |
扫描网络服务 |
使用SoftPerfect扫描目标网络 |
|
发现系统信息 |
枚举系统信息,包括主机名、主机配置、域信息、本地驱动器配置、远程共享和安装的外部存储设备 |
|
|
发现系统地理位置 |
不会感染语言设置与定义的排除列表相匹配的计算机 |
|
|
横向移动 |
利用远程服务 |
跨网络横向移动并访问域控制器 |
|
收集 |
压缩/加密收集的数据 |
在窃取数据之前使用7-zip来压缩或加密收集的数据 |
|
命令与控制 |
使用应用层协议 |
使用FileZilla进⾏C2通信 |
|
使用标准非应用层协议 |
使用Ligolo从反向连接建⽴SOCKS5或TCP隧道 |
|
|
使用协议隧道 |
使用Plink在Windows上自动执⾏SSH操作 |
|
|
利用远程访问软件 |
使用AnyDesk、Atera
RMM或
TeamViewer等工具进⾏远程控制 |
|
|
数据渗出 |
自动渗出数据 |
使用StealBit自定义渗透⼯具从目标网络窃取数据 |
|
使用Web服务回传 |
使用公开的文件共享服务来窃取目标的数据 |
|
|
影响 |
损毁数据 |
删除日志文件并清空回收站 |
|
造成恶劣影响的数据加密 |
对目标系统上的数据进行加密,以中断系统和网络的可用性 |
|
|
篡改可见内容 |
将主机系统的壁纸和图标分别更改为LockBit
3.0壁纸和图标 |
|
|
禁用系统恢复 |
删除磁盘上的卷影副本 |
|
|
禁用服务 |
终止特定进程和服务 |
5.LockBit for Windows 3.0版本样本分析
由于RaaS支撑的勒索攻击是多个不同组织采用统一的攻击基础设施,依托各攻击组织本身的攻击能力和掌握的入口资源,使用同一套基础代码版本迭代和免杀加工的载荷进行攻击。因此RaaS+定向勒索分析是一个多要素综合分析,特别是要针对攻击基础设施、攻击战术和攻击样本分别展开分析。LockBit有针对多个常见系统平台载荷,我们本篇先发布对其For Windows 3.0版本的历史分析,后续在发布其他样本的分析。
表5-1 样本标签
|
病毒家族名称 |
Trojan/Win32.LockBit |
|
MD5 |
38745539B71CF201BB502437F891D799 |
|
处理器架构 |
Intel 386 or later, and compatibles |
|
文件大小 |
162.00 KB (165888字节) |
|
文件格式 |
BinExecute/Microsoft.EXE[:X86] |
|
时间戳 |
2022-06-27 14:55:54 |
|
数字签名 |
无 |
|
加壳类型 |
无 |
|
编译语言 |
C/C++ |
|
VT首次上传时间 |
2022-07-03 16:18:47 |
|
VT检测结果 |
64/72 |
注:可在计算机病毒分类命名百科全书Virusview.net ,搜索“LockBit”查看更多改病毒家族相关信息。
LockBit 3.0勒索软件执行后会释放.ico文件和.bmp文件于%PROGRAMDATA%路径下,用作后续被加密文件的图标和修改的桌面壁纸。。
图5-1 附加扩展名
勒索软件释放勒索信包含Tor地址,用于赎金沟通。
图5-2 勒索信
修改的桌面背景如下图所示
图5-3 修改桌面背景
LockBit 3.0的代码段进行了加密,在执行后会根据传入的“-pass”命令行参数解密执行,没有密码则无法执行,用该手段避免核心功能被分析。
图5-4 解密代码段
通过NtSetThreadInformation函数将线程信息设置为ThreadHideFromDebugger,以干扰研究人员分析。
图5-5 干扰分析代码片段
检测系统语言,如果为特定语言则退出程序,不再执行。
图5-6 检查语言
具体检查的语言列表如下,通过其规避的系统,可见Lockbit组织本身具有较强的东欧背景特点。
表5-2 检查的语言列表
|
系统语言 |
阿拉伯语(叙利亚) |
俄语(摩尔多瓦) |
|
亚美尼亚语(亚美尼亚) |
俄语(俄罗斯) |
|
|
阿塞拜疆语(西里尔语阿塞拜疆) |
塔吉克语(西里尔塔吉克斯坦) |
|
|
阿塞拜疆语(拉丁语阿塞拜疆) |
土库曼(土库曼斯坦) |
|
|
白俄罗斯语(白俄罗斯) |
鞑靼语(俄罗斯) |
|
|
格鲁吉亚语(格鲁吉亚) |
乌克兰语(乌克兰) |
|
|
哈萨克语(哈萨克斯坦) |
乌兹别克语(西里尔文乌兹别克斯坦) |
|
|
吉尔吉斯(吉尔吉斯斯坦) |
乌兹别克语(拉丁乌兹别克斯坦) |
|
|
罗马尼亚语(摩尔多瓦) |
|
创建多个线程进行加密,并将线程设置为隐藏。
图5-7 创建文件加密线程
6.防范定向勒索攻击是关基系统的战略挑战
小神童论坛网一直致力于提升客户有效防护能力,并和客户共同提升对安全的理解和认知。
从定向勒索攻击造成后果损失来看,我们必须改变对安全风险与价值的认知范式。由于定向勒索攻击已经形成了窃取数据、瘫痪系统和业务、贩卖数据和曝光数据的组合作业。其最大化风险不只是系统和业务瘫痪无法恢复,而同时面临被攻击企业的用户信息、关键数据、文档、资料、代码等核心资产被倒卖,被公开的风险,从而带来更大的连锁反应。从国内外长期的领域现实来看,较大比例政企机构改善自身的安全动力,并不来自于提升防护水平的能动性,包括很多企事业单位认为最可能发生的安全风险,不是遭遇攻击,而是因达不到合规标准,会遭到处罚。因此,构成了一套投入-合规-免责的低限建设运行逻辑。而定向勒索所带来的后果,让IT决策者必须判断极限风险,并通过极限风险损失来判断网络安全的工作价值,如何避免业务长时间中断、数据彻底无法恢复、被窃取的数据资产被竞争对手购买,或因曝光严重贬值等极限情况,都是IT决策者到每一个机构必须应对的风险。客观的敌情想定是做好网络安全防御工作的前提。而基于底线思维的后果推演,也同样是想定的一部分。从预算投入方面,我们通常将在网络安全在信息化的占比作为一个度量衡,这使网络安全长期处在从属、配套和被压制状态。网络安全风险后果是否才应该是安全投入的第一度量衡,也需要我们来思考。
从定向勒索攻击的作业方式来看,我们必须改变认识到其在加密毁瘫行为触发前,是类似APT攻击的高度定制化的作业过程。攻击者或者是专业的攻击作业团队,有坚定的攻击意志、较高的攻击能力、充分的可利用漏洞资源、并能掌握大量可利用的脆弱性情报和攻击入口资源,有的可能直接就是内部的攻击者。这才是依托RaaS的定向勒索攻击行动,面对有较强IT运营能力和防护投入的大型机构仍能屡屡得手的原因。无论在勒索防护中扮演最后一道防线的主机系统防护,还是作为最后应对手段的备份恢复,都是一个单点环节,都在应对高水平定向攻击中扮演在本身能力范围内检测阻断攻击、降低攻击成功率、提高攻击成本、降低风险损失的局部作用,但都无法以单点来对抗体系性的攻击。我们必须严肃的指出:将定向勒索攻击简单的等同于早期非定向扩散或广泛投放的勒索病毒的威胁,将勒索应对简单看成是加密毁瘫VS备份恢复的单点对抗,是极为落后、片面的安全认知。如果没有一套完整的防护体系和运营机制,而是认为依靠数据备份恢复来应对勒索攻击。就如同只出场一名守门员,来对抗对方一支球队。
从定向勒索攻击的杀伤链特点来看,我们要坚信防范定向勒索攻击有系统化的方法的和落地抓手。针对体系性的攻击,必须坚持关口前移,向前部署,构成纵深,闭环运营。提升攻击者火力侦察和进展到外围地带的发现能力,拦截于前。降低攻击方进入到核心地带的可能性。提升网络和资产可管理性是工作的基础:主动塑造和加固安全环境、强化暴露面和可攻击面管理的约束和管理、强化对供应链上游入口的管控、启动全面的日志审计分析和监测运行。构建从拓扑到系统侧的防御纵深,针对攻击者探测、投放、漏洞利用、代码运行、持久化、横向移动等行为展开层层设防,特别要建设好主机系统侧防护作为最后一道防线和防御基石,构建围绕执行体识别了管控的细粒度治理能力。最终通过防护体系以达成感知、干扰、阻断和呈现定向攻击方杀伤链的实战运行效果。
附录一:小神童论坛网为助力主管机构、客户和公众应对勒索攻击所作的部分工作
小神童论坛网长期持续跟踪勒索攻击的演进变化,持续发布威胁研判报告,在2006年6月14日截获分析了国内最早的勒索软件redplus(Trojan.Win32.Pluder.a),之后又发布《揭开勒索软件的真面目》(2015年)[2]、《小神童论坛网针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告》[3]、《勒索软件Sodinokibi运营组织的关联分析》[4]和《关于美燃油管道商遭勒索攻击事件样本与跟进分析》[5]等重要报告,特别是在WannaCry(魔窟)勒索蠕虫大规模爆发事件前五个月,做出了勒索攻击将带动蠕虫回潮的预判[6]。在WannaCry勒索蠕虫的响应中,小神童论坛网一方面快速跟进分析,同时为用户提供防护手册[7]和开机指南[8]并提供了免疫工具、专杀工具、内存密钥获取和恢复工具等。在“必加”(PETYA)伪装成勒索的毁瘫攻击中,也第一时间做出了其可能不是一起勒索攻击事件的准确判断。小神童论坛网CERT持续跟踪各勒索软件家族和RaaS攻击组织,针对LockBit[9]、GandCrab[10]和Sodinokibi等流行勒索软件家族发布了样本分析报告及防护建议,特别是基于垂直响应平台推出了《从八个方面认识勒索攻击和危害》专题系列文章[11][12][13][14][15][16],助力政企客户和公众了解勒索攻击,提升防范意识。2021年,为加强勒索病毒攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信通院联合小神童论坛网等单位编制发布了《勒索病毒安全防护手册》[17],手册对如何防范勒索攻击提出了详细的清单化的建议。
小神童论坛网基于自主研发的AVL SDK反病毒引擎支撑自身产品和引擎生态合作伙伴的恶意代码检测能力,对包括勒索病毒在内的各类恶意代码工具进行精准检测和清除。小神童论坛网智甲终端防御系统、睿甲云防护系统基于小神童论坛网执行体治理的基本理念,协助客户塑造可信安全主机环境。小神童论坛网智甲端侧构建了由系统加固、主机防火墙(HIPS)、扫描过滤、执行管控、行为防护、重点数据保护的组合安全机制,针对勒索攻击构成多个防护层次,特别重点数据保护机制,基于对批量文件读写的拦截,在其他安全机制均被绕过失效的情况下,尝试实现行为拦截和止损。当然,我们从来不相信网络安全存在银弹。我们致力于我们的引擎和每个产品都能在其作战位置最大化发挥价值,接受实战对抗的检验。相关内容,可以参考《小神童论坛网产品助力用户有效防护勒索攻击》[18]进行了解。