近期,天融信谛听实验室关注到lockbit勒索软件团伙发布了最新版本勒索软件lockbit 3.0,其引入了zcash加密货币支付选项、新的勒索策略及首个勒索软件漏洞赏金计划。自2019年以来,该团伙提供的勒索软件即服务(raas)操作一直活跃,经过两个月的beta测试,lockbit改进后的新版本已用于攻击。据泄露数据站点的统计表明,在2022年第一季度所有与勒索软件相关的泄露事件中,lockbit占比46%。仅在今年6月中,就有44起网络攻击与该组织有关,lockbit显然已成为最活跃的勒索软件团伙。
近年来,勒索软件攻击高速增长,已成为网络世界的一种流行病,除交赎金外,几乎无解。目前,天融信edr、自适应防御系统等产品均可精准检测并查杀该勒索病毒,有效防止勒索事件发生,强化终端网络安全,积极营造清朗的网络空间环境。
样本分析
lockbit3.0版本勒索软件的赎金记录不再称为“restore-my-files.txt”,而是改为命名格式[id].readme.txt,如图所示以下。此外,该项目已重命名为 lockbit black。
lockbit 3.0版本的运行增加了参数校验,需要输入如下正确的参数才能成功执行。
运行后会立即解密出pe文件中各区段的真实代码信息,之后跳转到解密后的代码中执行。
在获取到系统函数的地址后,生成解密api函数的指针表,相当于给系统api调用加了一个简单的执行解密壳。
之所以说lockbit与blackmatter极其相似,是因为其配置文件的解密与blackmatter几乎如出一辙,许多配置数据需要单字节异或、aplib解压缩、base64编码等多种解码后方能看到原始数据。详情解密方法及脚本可以参考https://research.openanalysis.net/lockbit/lockbit3/yara/triage/ransomware/2022/07/07/lockbit3.html。
检查系统使用的语言。当前系统主机中的语言如果属于下列语言类型勒索软件会直接退出。包括阿塞拜疆文(西里尔文、阿塞拜疆)、阿塞拜疆文(拉丁文、阿塞拜疆)、亚美尼亚文(亚美尼亚)、白俄罗斯文(白俄罗斯)、格鲁吉亚文(格鲁吉亚)、哈萨克文(哈萨克斯坦)、吉尔吉斯文(吉尔吉斯斯坦)、俄文(摩尔多瓦)、俄文(俄罗斯)、塔吉克文(西里尔文、塔吉克斯坦)、土库曼文(土库曼斯坦)、乌兹别克文(西里尔文、乌兹别克斯坦)、乌兹别克文(拉丁文、乌兹别克斯坦)、乌克兰文(乌克兰)。
lockbit的所有参数、服务名称、进程名称、后缀名称、文件名称都使用一个算法函数进行不可逆变换后进行校验,这样的好处是避免在内存中直接暴露含有大量敏感的字符串列表。字符串校验的算法如下图所示,该算法对字符串的每一个字符进行ror循环右移0xdh次,如果字符为大写字母加上原字符hex数值异或0x20h,否则直接加上字符的hex数值,最终得到的字符串是一个不可逆的32位hex数值。如“txt”对应hex数值0xeba01e00h。
勒索软件运行中必须使用的字符串则通过在栈中异或0x4506dfcah再取反后来解密字符串,字符串解密的idapython脚本可以参考源项目
https://github.com/stupidbird-code/malware_analysize-tools/blob/main/lockbit3.0_decrypt.py。
之后循环提权,分别获取sebackupprivilege、semanagevolumeprivilege、setakeownershipprivilege、sedebugprivilege等权限,主要目的是可以结束掉干扰加密过程的进程和服务并具备足够高的权限进行加密文件。
创建互斥量
global\2cae82bd1366f4e0fdc7a9a7c12e2a6b
lockbit在加密所有文件前的准备工作基本在新建的多个线程中完成。其中第一个线程启用windows系统自带的trustedinstaller服务。
并枚举系统所有服务状态,根据服务名称字符串的校验算法结束掉特定服务进程。结束的服务进程包括以下服务名称:
第二个线程调用cocreateinstance等系统api执行wmi语句删除卷影副本,主要目的是防止数据被恢复。
第三个线程在加密过程中会枚举系统中运行的所有进程,并结束以下名称的进程:
第四个线程执行iocp多线程处理的程序,后续用于加密并写入文件内容。此外lockbit在获取磁盘信息时,创建新线程调用getlogicaldrivestringsw和getdrivetypew两个关键api,此种代码行为应该是为了规避安全软件在动态执行中的api序列行为监测。
勒索软件在加密过程中会排除以下后缀的文件:
在加密过程中会排除以下名称的文件:
排除包含以下名称的文件夹路径:
加密过程中lockbit会为每一个文件生成新的七个字母名称,以".hljknskoq"为固定后缀,之后调用movefileex函数改变被加密文件的名称。
之后在高优先级的多个iocp处理线程中加密并写入文件数据,实现高性能的加密速度。勒索前后采用了rsa算法和自定义的算法加密文件,本质上无法解密被加密文件。
被lockbit 3.0加密后的文件图标会被修改为黑色的“b”字样。勒索软件将设计好的图标文件释放在c:\programdata\hljknskoq.ico路径下,并在注册表中创建hkcr\hljknskoq\defaulticon\(default)项目,设置.hljknskoq后缀的默认图标路径为此ico。
最终在ico图标文件的同目录下释放bmp文件,通过修改注册表将其设置为桌面背景。
在每个目录下释放的勒索的提示信息如下:
样本iocs列表
防护建议
1、及时修复系统漏洞,降低被lockbit勒索病毒通过漏洞入侵的风险;
2、加强访问控制,关闭不必要的端口,禁用不必要的连接,降低资产风险暴露面;
3、更改系统及应用使用的默认密码,配置高强度密码认证,并定期更新密码,防止弱口令攻击;
4、可安装天融信安全产品加强防护,天融信edr系统、自适应安全防御系统,可有效防御该勒索病毒。
产品介绍
■天融信edr系统防御配置
1、开启勒索病毒诱捕,阻断加密行为,防护勒索病毒威胁;
2、通过微隔离策略加强访问控制,降低横向感染风险;
3、开启文件实时监控功能,可有效预防和查杀该勒索病毒。
■天融信自适应安全防御系统防御配置
1、开启病毒实时监测功能,可有效预防和查杀该勒索病毒;
2、通过微隔离策略加强访问控制,降低横向感染风险;
3、通过风险发现功能扫描系统是否存在相关漏洞和弱口令,降低风险、减少资产暴露;
——✦产品获取方式✦——
天融信自适应安全防御系统、天融信edr系统企业版试用(可通过天融信全国分支机构获取):
http://www.topsec.com.cn/contact/
天融信edr系统单机版下载地址:
http://edr.topsec.com.cn
topsec
勒索病毒作为网络世界流行病,近年来屡屡对各类组织机构的业务安全乃至社会秩序造成重大威胁。天融信始终深耕产品、技术与服务,致力于网络安全保障体系建设,不断为客户提供完备的产品服务化体验,助力国家网络安全产业健康与可持续发展。
- 关键词标签:
- 天融信edr lockbit病毒 自适应防御系统 终端网络安全