官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

网络安全

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

LockBit勒索软件样本分析及针对定向勒索的防御思考

antiylab 2023-11-20 16:54:45 205542

1.概述

近期发生了某金融机构遭到勒索攻击的事件^[1]。多方信息表示，该事件与LockBit勒索攻击组织存在密切关联。安天CERT用“存在密切关联”进行定性的原因是，LockBit是一个基于“勒索软件即服务”（RaaS）模式运营的攻击组织，其构建支撑勒索攻击的基础设施，包括研发发布勒索攻击恶意代码载荷、提供定制构造器、构建统一的勒索攻击提示、构建虚拟货币的支付通道，使各种攻击组织、个人均能依托其“服务”进行攻击作业，提供RaaS的组织和实施攻击者之间通过敲诈勒索或贩卖窃取数据获得的赃款进行分账。由于在“勒索即服务模式”中，“基础设施”提供方和实施攻击者通常不是同一组织和个体，甚至相互间是背靠背的，其支付是以比特币等加密数字货币来运行的，给事件全面溯源分析带来巨大的困难。

LockBit被评为2022年全球最活跃的勒索攻击组织，其面向Windows、Linux、macOS、以及VMware虚拟化平台等多种主机系统和目标平台研发勒索软件，其生成器通过简单交互即可完成勒索软件定制。LockBit勒索软件仅对被加密文件头部的前4K数据进行加密，因此加密速度明显快于全文件加密的其他勒索软件，由于在原文件对应扇区覆盖写入，受害者无法通过数据恢复的方式来还原未加密前的明文数据。该组织最早被发现于2019年9月，因其加密后的文件名后缀为.abcd，而被称为ABCD勒索软件；该组织在2021年6月发布了勒索软件2.0版本，增加了删除磁盘卷影和日志文件的功能，同时发布专属数据窃取工具StealBit，采用“威胁曝光（出售）企业数据+加密数据”双重勒索策略；2021年8月，该组织的攻击基础设施频谱增加了对DDoS攻击的支持；2022年6月勒索软件更新至3.0版本，由于3.0版本的部分代码与BlackMatter勒索软件代码重叠，因此LockBit 3.0又被称为LockBit Black。这反应出不同勒索攻击组织间可能存在的人员流动、能力交换等情况。使用LockBit RaaS实施攻击的相关组织进行了大量攻击作业，通过第三方获取访问凭证、漏洞武器化和搭载其他恶意软件等方式入侵至受害者系统后投放勒索软件，大量受害者遭受勒索与数据泄露，使LockBit成为目前最活跃的勒索攻击组织，甚至主动采取了传播和PR活动。

2.近年典型攻击事件

使用LockBit勒索组织RaaS服务的攻击者，主要通过第三方获取访问凭证、漏洞武器化和搭载其他恶意软件等方式实现对受害系统的初始访问，窃取数据文件后投放LockBit勒索软件实现加密。该组织附属成员较多，在其Tor网站几乎每天都有新增来自世界各地的受害者信息，自采用“威胁曝光企业数据+加密数据勒索”双重勒索策略以来，其Tor网站上共计发布2200余条受害企业信息，2023年截至目前已发布900余条受害企业信息，如附属成员和受害企业通过“私下谈判”的方式，则不会在Tor公开受害企业信息，也意味着实际受害企业数量会超过其公开发布过的受害企业数量。

表 2‑1 遭遇LockBit勒索攻击的典型事件清单

时间	受害单位	影响
2021年8月	爱尔兰IT咨询公司埃森哲	窃取约6 TB数据，要求支付5000万美元赎金
2022年1月	法国泰雷兹集团	部分数据被公开；同年11月再次遭受勒索攻击，公开窃取到的约9.5 GB数据
2022年2月	普利司通美洲分公司	公司暂停部分工作运营，受害系统数据被窃
2022年6月	美国数字安全公司Entrust	部分数据被窃取
2022年7月	法国电信运营商La Poste Mobile	导致部分系统关停，官方网站关停10余天，部分用户信息被公开
2022年10月	巴西利亚银行	部分数据被窃取，要求支付50 BTC赎金
2022年11月	德国大陆集团	窃取约40 GB数据，要求支付5000万美元赎金
2022年12月	美国加州财政部	窃取约76 GB数据
2023年1月	英国皇家邮政	国际出口服务中断，约45 GB数据被窃取，要求支付8000万美元赎金
2023年6月	台积电供应商擎昊科技	部分数据被窃取，要求支付7000万美元赎金
2023年8月	加拿大蒙特利尔市电力服务委员会	窃取约44 GB数据
2023年10月	美国波音航空公司	窃取约43 GB数据

3.攻击组织和对应攻击情况概览

表 3‑1 LockBit攻击组织基本情况

4.历史关联攻击活动的典型技战术行为图谱

依托LockBit RaaS基础设施开展勒索攻击的组织人员较多，作业风格又有不同差异，众多事件没有披露更多细节。对整个攻击生命周期的攻击入口、突防方式、横向移动、关键资产窃取路径等分析难以展开，我们通过目前掌握的线索对相关攻击常见战术和技术形成清单，并基于ATT&CK框架进行标注。

图 4‑1 LockBit相关勒索攻击的常见战术行为图谱

对应清单如下：

表4‑1LockBit相关勒索攻击的常见战术行为列表

ATT&CK阶段	具体行为	注释
初始访问	水坑攻击	在受害者经常访问的网站植入恶意代码
	利用面向公众的应用程序	利用漏洞访问受害者系统，例如使用Citrix相关漏洞
	利用外部远程服务	利用RDP访问受害者的网络
	网络钓鱼	使用网络钓鱼和鱼叉式网络钓鱼来访问受害者的网络
	利用有效账户	获取并滥用现有账户的凭据作为获得初始访问权限的手段
执行	利用命令和脚本解释器	使用批处理脚本来执行恶意命令
	利用第三方软件部署工具	使用Chocolatey命令行包管理器部署
	利用系统服务	使用PsExec来执行命令或有效负载
持久化	利用自动启动执行引导或登录	启用自动执行以实现持久性
持久化	有效账户	使用受损的用户账户来维持目标网络上的持久性
提权	滥用提升控制权限机制	在UACMe中使用ucmDccwCOM方法实现绕过UAC
	利用自动启动执行引导或登录	启用自动登录以实现提权
	利用域策略修改	为横向移动创建组策略，并可以强制更新组策略
	利用有效账户	使用受损的用户账户提权
防御规避	执行范围保护	输入正确的参数会解密主要组件或继续解密和解压缩数据
	削弱防御机制	使用PCHunter、PowerTool和Process Hacker等工具来禁用和卸载与安全软件有关的进程和服务
	删除信标	清除Windows事件日志文件，勒索软件自删除
	混淆文件或信息	将向其命令和控制（C2）发送加密的数据
凭证访问	暴力破解	利用VPN或RDP暴力破解实现初始访问
	从存储密码的位置获取凭证	使用PasswordFox获取Firefox浏览器的密码
	操作系统凭证转储	使用ExtPassword或LostMyPassword用于获取操作系统登录凭证
发现	扫描网络服务	使用SoftPerfect扫描目标网络
	发现系统信息	枚举系统信息，包括主机名、主机配置、域信息、本地驱动器配置、远程共享和安装的外部存储设备
	发现系统地理位置	不会感染语言设置与定义的排除列表相匹配的计算机
横向移动	利用远程服务	跨网络横向移动并访问域控制器
收集	压缩/加密收集的数据	在窃取数据之前使用7-zip来压缩或加密收集的数据
命令与控制	使用应用层协议	使用FileZilla进⾏C2通信
	使用标准非应用层协议	使用Ligolo从反向连接建⽴SOCKS5或TCP隧道
	使用协议隧道	使用Plink在Windows上自动执⾏SSH操作
	利用远程访问软件	使用AnyDesk、Atera RMM或 TeamViewer等工具进⾏远程控制
数据渗出	自动渗出数据	使用StealBit自定义渗透⼯具从目标网络窃取数据
数据渗出	使用Web服务回传	使用公开的文件共享服务来窃取目标的数据
影响	损毁数据	删除日志文件并清空回收站
	造成恶劣影响的数据加密	对目标系统上的数据进行加密，以中断系统和网络的可用性
	篡改可见内容	将主机系统的壁纸和图标分别更改为LockBit 3.0壁纸和图标
	禁用系统恢复	删除磁盘上的卷影副本
	禁用服务	终止特定进程和服务

5 LockBit 3.0 for Windows版本样本分析

由于RaaS支撑的勒索攻击是多个不同组织采用统一的攻击基础设施，依托各攻击组织本身的攻击能力和掌握的入口资源，使用同一套基础代码版本迭代和免杀加工的载荷进行攻击。因此RaaS+定向勒索分析是一个多要素综合分析，特别是要针对攻击基础设施、攻击战术和攻击样本分别展开分析。LockBit有针对多个常见系统平台载荷，我们本篇先发布对其For Windows 版本的历史分析，后续再发布其他样本的分析。

表 5‑1样本标签

病毒家族名称	Trojan/Win32.LockBit
MD5	38745539B71CF201BB502437F891D799
处理器架构	Intel 386 or later, and compatibles
文件大小	162.00 KB (165888字节)
文件格式	BinExecute/Microsoft.EXE[:X86]
时间戳	2022-06-27 14:55:54
数字签名	无
加壳类型	无
编译语言	C/C++
VT首次上传时间	2022-07-03 16:18:47
VT检测结果	64/72

注：可在计算机病毒分类命名百科全书Virusview.net，搜索“LockBit”查看更多改病毒家族相关信息。

LockBit 3.0勒索软件执行后会释放.ico文件和.bmp文件于%PROGRAMDATA%路径下，用作后续被加密文件的图标和修改的桌面壁纸。

图 5‑1附加扩展名

勒索软件释放勒索信包含Tor地址，用于赎金沟通。

图 5‑2勒索信

修改的桌面背景如下图所示。

图 5‑3 修改桌面背景

LockBit 3.0的代码段进行了加密，在执行后会根据传入的“-pass”命令行参数解密执行，没有密码则无法执行，用该手段避免核心功能被分析。

图 5‑4解密代码段

通过NtSetThreadInformation函数将线程信息设置为ThreadHideFromDebugger，以干扰研究人员分析。

图 5‑5干扰分析代码片段

检测系统语言，如果为特定语言则退出程序，不再执行。

图 5‑6检查语言

具体检查的语言列表如下，通过其规避的系统，可见LockBit组织本身具有较强的东欧背景特点。

表 5‑2检查的语言列表

系统语言	阿语（叙利亚）	俄语（摩尔多瓦）
	亚美尼亚语（亚美尼亚）	俄语（俄罗斯）
	阿塞拜疆语（西里尔语阿塞拜疆）	塔吉克语（西里尔塔吉克斯坦）
	阿塞拜疆语（拉丁语阿塞拜疆）	土库曼（土库曼斯坦）
	白俄罗斯语（白俄罗斯）	鞑靼语（俄罗斯）
	格鲁吉亚语（格鲁吉亚）	乌克兰语（乌克兰）
	哈萨克语（哈萨克斯坦）	乌兹别克语（西里尔文乌兹别克斯坦）
	吉尔吉斯（吉尔吉斯斯坦）	乌兹别克语（拉丁乌兹别克斯坦）
	罗马尼亚语（摩尔多瓦）

创建多个线程进行加密，并将线程设置为隐藏。

图 5‑7创建文件加密线程

6 .定向勒索攻击对关基安全挑战和应对思考

从定向勒索攻击造成后果损失来看，我们必须改变对安全风险与价值的认知范式。由于定向勒索攻击已经形成了窃取数据、瘫痪系统和业务、贩卖数据和曝光数据的组合作业。其最大化风险不只是系统和业务瘫痪无法恢复，而同时面临被攻击企业的用户信息、关键数据、文档、资料、代码等核心资产被倒卖，被公开的风险，从而带来更大的连锁反应。从国内外长期的领域现实来看，较大比例政企机构改善自身的安全动力，并不来自于提升防护水平的能动性，包括很多企事业单位认为最可能发生的安全风险，不是遭遇攻击，而是因达不到合规标准，会遭到处罚。因此，构成了一套投入-合规-免责的低限建设运行逻辑。而定向勒索所带来的后果，让IT决策者必须判断极限风险，并通过极限风险损失来判断网络安全的工作价值，如何避免业务长时间中断、数据彻底无法恢复、被窃取的数据资产被竞争对手购买，或因曝光严重贬值等极限情况，都是从IT决策者到每一个机构必须应对的风险。客观的敌情想定是做好网络安全防御工作的前提。而基于底线思维的后果推演，也同样是想定的一部分。从预算投入方面，我们通常将网络安全在信息化的占比作为一个度量衡，这使网络安全长期处在从属、配套和被压制状态。网络安全风险后果是否才应该是安全投入的第一度量衡，也需要我们来思考。

从定向勒索攻击的作业方式来看，我们必须认识到其在加密毁瘫行为触发前，是类似APT攻击的高度定制化的作业过程。攻击者或是专业的攻击团队，有坚定的攻击意志、较高的攻击能力、充分的可利用漏洞资源、并能掌握大量可利用的脆弱性情报和攻击入口资源，有的可能直接就是内部的攻击者。这才是依托RaaS的定向勒索攻击行动，面对有较强IT运营能力和防护投入的大型机构仍能屡屡得手的原因。无论在勒索防护中扮演最后一道防线的主机系统防护，还是作为最后应对手段的备份恢复，都只是一个单点环节，都在应对高水平定向攻击中扮演在本身能力范围内检测阻断攻击、降低攻击成功率、提高攻击成本、降低风险损失的局部作用，但都无法以单点来对抗体系性的攻击。

我们必须严肃的指出：将定向勒索攻击简单的等同于早期非定向扩散或广泛投放的勒索病毒的威胁，将勒索应对简单看成是加密毁瘫VS备份恢复的单点对抗，是极为落后、片面的安全认知。如果没有一套完整的防护体系和运营机制，而是认为依靠数据备份恢复来应对勒索攻击。就如同只出场一名守门员，来对抗对方的一支球队。

从定向勒索攻击的杀伤链特点来看，我们要坚信防范定向勒索攻击有系统化的方法和落地抓手。针对体系性的攻击，必须坚持关口前移，向前部署，构成纵深，闭环运营。提升攻击者火力侦察和进展到外（围）地带的发现能力，拦截于前。降低攻击方进入到核心地带的可能性。提升网络和资产可管理性是工作的基础：主动塑造和加固安全环境、强化暴露面和可攻击面管理的约束和管理、强化对供应链上游入口的管控、启动全面的日志审计分析和监测运行。构建从拓扑到系统侧的防御纵深，针对攻击者探测、投放、漏洞利用、代码运行、持久化、横向移动等行为展开层层设防，特别要建设好主机系统侧防护作为最后一道防线和防御基石，构建围绕执行体识别管控的细粒度治理能力，最终通过防护体系以达成感知、干扰、阻断和呈现定向攻击方杀伤链的实战运行效果。

附录：参考资料

Ransomware attack on China’s biggest bank may have hit US Treasury market [R/OL].(2023-11-10), https://www.cnn.com/2023/11/10/investing/icbc-ransomware-attack-hnk-intl/index.html.安天.揭开勒索软件的真面目[R/OL].(2015-08-03),https://www.antiy.com/response/ransomware.html.
安天.安天针对勒索蠕虫“魔窟”（WannaCry）的深度分析报告[R/OL].(2017-05-13),https://www.antiy.com/response/wannacry.html.
安天.勒索软件Sodinokibi运营组织的关联分析[R/OL].(2019-06-28),https://www.antiy.com/response/20190628.html.
安天.关于美燃油-管道商遭勒索攻击事件样本与跟进分析[R/OL].(2021-05-11),https://www.antiy.com/response/20210511.html.
安天.2016年网络安全威胁的回顾与展望[R/OL].(2017-01-06),https://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html.
安天.安天应对勒索软件“WannaCry”防护手册[R/OL].(2017-05-13),https://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html.
安天.安天应对魔窟勒索软件“WannaCry”周一开机指南[R/OL].(2017-05-14),https://www.antiy.com/response/Antiy_Wannacry_Guide.html.
安天.安天智甲有效防护0勒索软件[R/OL].(2021-09-20),https://www.antiy.cn/observe_download/observe_296.pdf.
安天.GANDCRAB勒索软件着眼“达世币”，安天智甲有效防护[R/OL].(2018-02-28),https://www.antiy.com/response/20180228.html.
安天.勒索攻击的四种分工角色[R/OL].(2021-11-23),https://mp.weixin.qq.com/s/oMneQmmYQF5B4nWVulJl1g.
安天.勒索攻击的两种典型模式[R/OL].(2021-11-23),https://mp.weixin.qq.com/s/nrbVpjA2-jfTzjojbyFpJA.
安天. “勒索攻击杀伤链”分析[R/OL].(2021-11-24),https://mp.weixin.qq.com/s/24bIz-e4_Ts-Th0ecCWfgQ.
安天.勒索攻击的四种勒索类型与五种攻击特征[R/OL].(2021-11-25),https://mp.weixin.qq.com/s/RL4E9v4wvazgj2UNdbMypA.
安天.十类典型勒索家族[R/OL].(2021-11-26),https://mp.weixin.qq.com/s/Jmz58xQBcytCIWx51yxBTQ.
安天.勒索攻击发展趋势[R/OL].(2021-11-26),https://mp.weixin.qq.com/s/1wehEDr7dTo-wdJYzfoS-A.
中国信通院.勒索病毒安全防护手册[R/OL].(2021-09), http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/P020210908503958931090.pdf.
安天.安天产品助力用户有效防护勒索攻击[R/OL].(2021-11-01), https://mp.weixin.qq.com/s/nOfhqWiw6Xd7-mvMt2zfXQ.

# 网络安全 # 勒索软件 # lockbit # 关基安全

本文为 antiylab 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多