国精品无码一区二区三区在线,欧美性XXXXX极品少妇,亚洲伊人成无码综合网

LockBit勒索軟件樣本分析及針對定向勒索的防御思考

時間： 2023年11月17日來源：安天CERT

1.概述

近期發生了某金融機構遭到勒索攻擊的事件。多方信息表示，該事件與LockBit勒索攻擊組織存在密切關聯^[1]。安天CERT用“存在密切關聯”進行定性的原因是，LockBit是一個基于“勒索軟件即服務”（RaaS）模式運營的攻擊組織，其構建支撐勒索攻擊的基礎設施，包括研發發布勒索攻擊惡意代碼載荷、提供定制構造器、構建統一的勒索攻擊提示、構建虛擬貨幣的支付通道，使各種攻擊組織、個人均能依托其“服務”進行攻擊作業，提供RaaS的組織和實施攻擊者之間通過敲詐勒索或販賣竊取數據獲得的贓款進行分賬。由于在“勒索即服務模式”中，“基礎設施”提供方和實施攻擊者通常不是同一組織和個體，甚至相互間是背靠背的，其支付是以比特幣等加密數字貨幣來運行的，給事件全面溯源分析帶來巨大的困難。

LockBit被評為2022年全球最活躍的勒索攻擊組織，其面向Windows、Linux、macOS、以及VMware虛擬化平臺等多種主機系統和目標平臺研發勒索軟件，其生成器通過簡單交互即可完成勒索軟件定制。LockBit勒索軟件僅對被加密文件頭部的前4K數據進行加密，因此加密速度明顯快于全文件加密的其他勒索軟件，由于在原文件對應扇區覆蓋寫入，受害者無法通過數據恢復的方式來還原未加密前的明文數據。該組織最早被發現于2019年9月，因其加密后的文件名后綴為.abcd，而被稱為ABCD勒索軟件；該組織在2021年6月發布了勒索軟件2.0版本，增加了刪除磁盤卷影和日志文件的功能，同時發布專屬數據竊取工具StealBit，采用“威脅曝光（出售）企業數據+加密數據”雙重勒索策略；2021年8月，該組織的攻擊基礎設施頻譜增加了對DDoS攻擊的支持；2022年6月勒索軟件更新至3.0版本，由于3.0版本的部分代碼與BlackMatter勒索軟件代碼重疊，因此LockBit 3.0又被稱為LockBit Black。這反應出不同勒索攻擊組織間可能存在的人員流動、能力交換等情況。使用LockBit RaaS實施攻擊的相關組織進行了大量攻擊作業，通過第三方獲取訪問憑證、漏洞武器化和搭載其他惡意軟件等方式入侵至受害者系統后投放勒索軟件，大量受害者遭受勒索與數據泄露，使LockBit成為目前最活躍的勒索攻擊組織，甚至主動采取了傳播和PR活動。

2.近年典型攻擊事件

使用LockBit勒索組織RaaS服務的攻擊者，主要通過第三方獲取訪問憑證、漏洞武器化和搭載其他惡意軟件等方式實現對受害系統的初始訪問，竊取數據文件后投放LockBit勒索軟件實現加密。該組織附屬成員較多，在其Tor網站幾乎每天都有新增來自世界各地的受害者信息，自采用“威脅曝光企業數據+加密數據勒索”雙重勒索策略以來，其Tor網站上共計發布2200余條受害企業信息，2023年截至目前已發布900余條受害企業信息，如附屬成員和受害企業通過“私下談判”的方式，則不會在Tor公開受害企業信息，也意味著實際受害企業數量會超過其公開發布過的受害企業數量。

表2-1 遭遇LockBit勒索攻擊的典型事件清單

時間	受害單位	影響
2021年8月	愛爾蘭IT咨詢公司埃森哲	竊取約6 TB數據，要求支付5000萬美元贖金
2022年1月	法國泰雷茲集團	部分數據被公開；同年11月再次遭受勒索攻擊，公開竊取到的約9.5 GB數據
2022年2月	普利司通美洲分公司	公司暫停部分工作運營，受害系統數據被竊
2022年6月	美國數字安全公司Entrust	部分數據被竊取
2022年7月	法國電信運營商La Poste Mobile	導致部分系統關停，官方網站關停10余天，部分用戶信息被公開
2022年10月	巴西利亞銀行	部分數據被竊取，要求支付50 BTC贖金
2022年11月	德國大陸集團	竊取約40 GB數據，要求支付5000萬美元贖金
2022年12月	美國加州財政部	竊取約76 GB數據
2023年1月	英國皇家郵政	國際出口服務中斷，約45 GB數據被竊取，要求支付8000萬美元贖金
2023年6月	臺積電供應商擎昊科技	部分數據被竊取，要求支付7000萬美元贖金
2023年8月	加拿大蒙特利爾市電力服務委員會	竊取約44 GB數據
2023年10月	美國波音航空公司	竊取約43 GB數據

3.攻擊組織和對應攻擊情況概覽

表3-1 LockBit攻擊組織基本情況

組織名稱	LockBit
組織曾用名	ABCD
出現時間	2019年9月
典型突防方式	除釣魚攻擊外、第三方獲取訪問憑證、漏洞利用和搭載其他惡意軟件
典型加密后綴	字母與數字隨機組合的9位個人ID
解密工具	暫未發現公開的解密工具
加密目標系統	Windows，Linux，MacOS，Vmware等
運營方式	勒索即服務，基于勒索贖金和銷售
侵害模式	加密致癱、竊密、DDoS干擾服務
常見針對行業	金融、服務、建筑、教育、IT、制造
常見國家/地區	美國、英國、德國、加拿大
是否多重組合勒索	是
勒索信樣例

4.歷史關聯攻擊活動的典型技戰術行為圖譜

依托LockBit RaaS基礎設施開展勒索攻擊的組織人員較多，作業風格又有不同差異，眾多事件沒有披露更多細節。對整個攻擊生命周期的攻擊入口、突防方式、橫向移動、關鍵資產竊取路徑等分析難以展開，我們通過目前掌握的線索對相關攻擊常見戰術和技術形成清單，并基于ATT&CK框架進行標注。

圖4-1 LockBit相關勒索攻擊的常見戰術行為圖譜

對應清單如下：

表4-1 LockBit相關勒索攻擊的常見戰術行為列表

ATT&CK階段	具體行為	注釋
初始訪問	水坑攻擊	在受害者經常訪問的網站植入惡意代碼
	利用面向公眾的應用程序	利用漏洞訪問受害者系統，例如使用Citrix相關漏洞
	利用外部遠程服務	利用RDP訪問受害者的網絡
	網絡釣魚	使用網絡釣魚和魚叉式網絡釣魚來訪問受害者的網絡
	利用有效賬戶	獲取并濫用現有賬戶的憑據作為獲得初始訪問權限的手段
執行	利用命令和腳本解釋器	使用批處理腳本來執行惡意命令
	利用第三方軟件部署工具	使用Chocolatey命令行包管理器部署
	利用系統服務	使用PsExec來執行命令或有效負載
持久化	利用自動啟動執行引導或登錄	啟用自動執行以實現持久性
持久化	有效賬戶	使用受損的用戶賬戶來維持目標網絡上的持久性
提權	濫用提升控制權限機制	在UACMe中使用ucmDccwCOM方法實現繞過UAC
	利用自動啟動執行引導或登錄	啟用自動登錄以實現提權
	利用域策略修改	為橫向移動創建組策略，并可以強制更新組策略
	利用有效賬戶	使用受損的用戶賬戶提權
防御規避	執行范圍保護	輸入正確的參數會解密主要組件或繼續解密和解壓縮數據
	削弱防御機制	使用PCHunter、PowerTool和Process Hacker等工具來禁用和卸載與安全軟件有關的進程和服務
	刪除信標	清除Windows事件日志文件，勒索軟件自刪除
	混淆文件或信息	將向其命令和控制（C2）發送加密的數據
憑證訪問	暴力破解	利用VPN或RDP暴力破解實現初始訪問
	從存儲密碼的位置獲取憑證	使用PasswordFox獲取Firefox瀏覽器的密碼
	操作系統憑證轉儲	使用ExtPassword或LostMyPassword用于獲取操作系統登錄憑證
發現	掃描網絡服務	使用SoftPerfect掃描目標網絡
	發現系統信息	枚舉系統信息，包括主機名、主機配置、域信息、本地驅動器配置、遠程共享和安裝的外部存儲設備
	發現系統地理位置	不會感染語言設置與定義的排除列表相匹配的計算機
橫向移動	利用遠程服務	跨網絡橫向移動并訪問域控制器
收集	壓縮/加密收集的數據	在竊取數據之前使用7-zip來壓縮或加密收集的數據
命令與控制	使用應用層協議	使用FileZilla進?C2通信
	使用標準非應用層協議	使用Ligolo從反向連接建?SOCKS5或TCP隧道
	使用協議隧道	使用Plink在Windows上自動執?SSH操作
	利用遠程訪問軟件	使用AnyDesk、Atera RMM或 TeamViewer等工具進?遠程控制
數據滲出	自動滲出數據	使用StealBit自定義滲透?具從目標網絡竊取數據
數據滲出	使用Web服務回傳	使用公開的文件共享服務來竊取目標的數據
影響	損毀數據	刪除日志文件并清空回收站
	造成惡劣影響的數據加密	對目標系統上的數據進行加密，以中斷系統和網絡的可用性
	篡改可見內容	將主機系統的壁紙和圖標分別更改為LockBit 3.0壁紙和圖標
	禁用系統恢復	刪除磁盤上的卷影副本
	禁用服務	終止特定進程和服務

5.LockBit for Windows 3.0版本樣本分析

由于RaaS支撐的勒索攻擊是多個不同組織采用統一的攻擊基礎設施，依托各攻擊組織本身的攻擊能力和掌握的入口資源，使用同一套基礎代碼版本迭代和免殺加工的載荷進行攻擊。因此RaaS+定向勒索分析是一個多要素綜合分析，特別是要針對攻擊基礎設施、攻擊戰術和攻擊樣本分別展開分析。LockBit有針對多個常見系統平臺載荷，我們本篇先發布對其For Windows 3.0版本的歷史分析，后續在發布其他樣本的分析。

表5-1 樣本標簽

病毒家族名稱	Trojan/Win32.LockBit
MD5	38745539B71CF201BB502437F891D799
處理器架構	Intel 386 or later, and compatibles
文件大小	162.00 KB (165888字節)
文件格式	BinExecute/Microsoft.EXE[:X86]
時間戳	2022-06-27 14:55:54
數字簽名	無
加殼類型	無
編譯語言	C/C++
VT首次上傳時間	2022-07-03 16:18:47
VT檢測結果	64/72

注：可在計算機病毒分類命名百科全書Virusview.net ，搜索“LockBit”查看更多改病毒家族相關信息。

LockBit 3.0勒索軟件執行后會釋放.ico文件和.bmp文件于%PROGRAMDATA%路徑下，用作后續被加密文件的圖標和修改的桌面壁紙。。

圖5-1 附加擴展名

勒索軟件釋放勒索信包含Tor地址，用于贖金溝通。

圖5-2 勒索信

修改的桌面背景如下圖所示

圖5-3 修改桌面背景

LockBit 3.0的代碼段進行了加密，在執行后會根據傳入的“-pass”命令行參數解密執行，沒有密碼則無法執行，用該手段避免核心功能被分析。

圖5-4 解密代碼段

通過NtSetThreadInformation函數將線程信息設置為ThreadHideFromDebugger，以干擾研究人員分析。

圖5-5 干擾分析代碼片段

檢測系統語言，如果為特定語言則退出程序，不再執行。

圖5-6 檢查語言

具體檢查的語言列表如下，通過其規避的系統，可見Lockbit組織本身具有較強的東歐背景特點。

表5-2 檢查的語言列表

系統語言	阿拉伯語（敘利亞）	俄語（摩爾多瓦）
	亞美尼亞語（亞美尼亞）	俄語（俄羅斯）
	阿塞拜疆語（西里爾語阿塞拜疆）	塔吉克語（西里爾塔吉克斯坦）
	阿塞拜疆語（拉丁語阿塞拜疆）	土庫曼（土庫曼斯坦）
	白俄羅斯語（白俄羅斯）	韃靼語（俄羅斯）
	格魯吉亞語（格魯吉亞）	烏克蘭語（烏克蘭）
	哈薩克語（哈薩克斯坦）	烏茲別克語（西里爾文烏茲別克斯坦）
	吉爾吉斯（吉爾吉斯斯坦）	烏茲別克語（拉丁烏茲別克斯坦）
	羅馬尼亞語（摩爾多瓦）

創建多個線程進行加密，并將線程設置為隱藏。

圖5-7 創建文件加密線程

6.防范定向勒索攻擊是關基系統的戰略挑戰

安天一直致力于提升客戶有效防護能力，并和客戶共同提升對安全的理解和認知。

從定向勒索攻擊造成后果損失來看，我們必須改變對安全風險與價值的認知范式。由于定向勒索攻擊已經形成了竊取數據、癱瘓系統和業務、販賣數據和曝光數據的組合作業。其最大化風險不只是系統和業務癱瘓無法恢復，而同時面臨被攻擊企業的用戶信息、關鍵數據、文檔、資料、代碼等核心資產被倒賣，被公開的風險，從而帶來更大的連鎖反應。從國內外長期的領域現實來看，較大比例政企機構改善自身的安全動力，并不來自于提升防護水平的能動性，包括很多企事業單位認為最可能發生的安全風險，不是遭遇攻擊，而是因達不到合規標準，會遭到處罰。因此，構成了一套投入-合規-免責的低限建設運行邏輯。而定向勒索所帶來的后果，讓IT決策者必須判斷極限風險，并通過極限風險損失來判斷網絡安全的工作價值，如何避免業務長時間中斷、數據徹底無法恢復、被竊取的數據資產被競爭對手購買，或因曝光嚴重貶值等極限情況，都是IT決策者到每一個機構必須應對的風險?？陀^的敵情想定是做好網絡安全防御工作的前提。而基于底線思維的后果推演，也同樣是想定的一部分。從預算投入方面，我們通常將在網絡安全在信息化的占比作為一個度量衡，這使網絡安全長期處在從屬、配套和被壓制狀態。網絡安全風險后果是否才應該是安全投入的第一度量衡，也需要我們來思考。

從定向勒索攻擊的作業方式來看，我們必須改變認識到其在加密毀癱行為觸發前，是類似APT攻擊的高度定制化的作業過程。攻擊者或者是專業的攻擊作業團隊，有堅定的攻擊意志、較高的攻擊能力、充分的可利用漏洞資源、并能掌握大量可利用的脆弱性情報和攻擊入口資源，有的可能直接就是內部的攻擊者。這才是依托RaaS的定向勒索攻擊行動，面對有較強IT運營能力和防護投入的大型機構仍能屢屢得手的原因。無論在勒索防護中扮演最后一道防線的主機系統防護，還是作為最后應對手段的備份恢復，都是一個單點環節，都在應對高水平定向攻擊中扮演在本身能力范圍內檢測阻斷攻擊、降低攻擊成功率、提高攻擊成本、降低風險損失的局部作用，但都無法以單點來對抗體系性的攻擊。我們必須嚴肅的指出：將定向勒索攻擊簡單的等同于早期非定向擴散或廣泛投放的勒索病毒的威脅，將勒索應對簡單看成是加密毀癱VS備份恢復的單點對抗，是極為落后、片面的安全認知。如果沒有一套完整的防護體系和運營機制，而是認為依靠數據備份恢復來應對勒索攻擊。就如同只出場一名守門員，來對抗對方一支球隊。

從定向勒索攻擊的殺傷鏈特點來看，我們要堅信防范定向勒索攻擊有系統化的方法的和落地抓手。針對體系性的攻擊，必須堅持關口前移，向前部署，構成縱深，閉環運營。提升攻擊者火力偵察和進展到外圍地帶的發現能力，攔截于前。降低攻擊方進入到核心地帶的可能性。提升網絡和資產可管理性是工作的基礎：主動塑造和加固安全環境、強化暴露面和可攻擊面管理的約束和管理、強化對供應鏈上游入口的管控、啟動全面的日志審計分析和監測運行。構建從拓撲到系統側的防御縱深，針對攻擊者探測、投放、漏洞利用、代碼運行、持久化、橫向移動等行為展開層層設防，特別要建設好主機系統側防護作為最后一道防線和防御基石，構建圍繞執行體識別了管控的細粒度治理能力。最終通過防護體系以達成感知、干擾、阻斷和呈現定向攻擊方殺傷鏈的實戰運行效果。

附錄一：安天為助力主管機構、客戶和公眾應對勒索攻擊所作的部分工作

安天長期持續跟蹤勒索攻擊的演進變化，持續發布威脅研判報告，在2006年6月14日截獲分析了國內最早的勒索軟件redplus（Trojan.Win32.Pluder.a），之后又發布《揭開勒索軟件的真面目》（2015年）^[2]、《安天針對勒索蠕蟲“魔窟”（WannaCry）的深度分析報告》^[3]、《勒索軟件Sodinokibi運營組織的關聯分析》^[4]和《關于美燃油管道商遭勒索攻擊事件樣本與跟進分析》^[5]等重要報告，特別是在WannaCry（魔窟）勒索蠕蟲大規模爆發事件前五個月，做出了勒索攻擊將帶動蠕蟲回潮的預判^[6]。在WannaCry勒索蠕蟲的響應中，安天一方面快速跟進分析，同時為用戶提供防護手冊[7]和開機指南^[8]并提供了免疫工具、專殺工具、內存密鑰獲取和恢復工具等。在“必加”(PETYA)偽裝成勒索的毀癱攻擊中，也第一時間做出了其可能不是一起勒索攻擊事件的準確判斷。安天CERT持續跟蹤各勒索軟件家族和RaaS攻擊組織，針對LockBit^[9]、GandCrab^[10]和Sodinokibi等流行勒索軟件家族發布了樣本分析報告及防護建議，特別是基于垂直響應平臺推出了《從八個方面認識勒索攻擊和危害》專題系列文章^{[11][12][13][14][15][16]}，助力政企客戶和公眾了解勒索攻擊，提升防范意識。2021年，為加強勒索病毒攻擊防范應對，在工業和信息化部網絡安全管理局指導下，中國信通院聯合安天等單位編制發布了《勒索病毒安全防護手冊》^[17]，手冊對如何防范勒索攻擊提出了詳細的清單化的建議。

安天基于自主研發的AVL SDK反病毒引擎支撐自身產品和引擎生態合作伙伴的惡意代碼檢測能力，對包括勒索病毒在內的各類惡意代碼工具進行精準檢測和清除。安天智甲終端防御系統、睿甲云防護系統基于安天執行體治理的基本理念，協助客戶塑造可信安全主機環境。安天智甲端側構建了由系統加固、主機防火墻（HIPS）、掃描過濾、執行管控、行為防護、重點數據保護的組合安全機制，針對勒索攻擊構成多個防護層次，特別重點數據保護機制，基于對批量文件讀寫的攔截，在其他安全機制均被繞過失效的情況下，嘗試實現行為攔截和止損。當然，我們從來不相信網絡安全存在銀彈。我們致力于我們的引擎和每個產品都能在其作戰位置最大化發揮價值，接受實戰對抗的檢驗。相關內容，可以參考《安天產品助力用戶有效防護勒索攻擊》^[18]進行了解。

附錄：參考資料

[1] Ransomware attack on China’s biggest bank may have hit US Treasury market [R/OL].(2023-11-10)

https://www.cnn.com/2023/11/10/investing/icbc-ransomware-attack-hnk-intl/index.html

[2] 安天.揭開勒索軟件的真面目[R/OL].(2015-08-03)

https://www.antiy.com/response/ransomware.html

[3] 安天.安天針對勒索蠕蟲“魔窟”（WannaCry）的深度分析報告[R/OL].(2017-05-13)

https://www.antiy.com/response/wannacry.html

[4] 安天.勒索軟件Sodinokibi運營組織的關聯分析[R/OL].(2019-06-28)

https://www.antiy.com/response/20190628.html

[5] 安天.關于美燃油管道商遭勒索攻擊事件樣本與跟進分析[R/OL].(2021-05-11)

https://www.antiy.com/response/20210511.html

[6] 安天.2016年網絡安全威脅的回顧與展望[R/OL].(2017-01-06)

https://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html

[7] 安天.安天應對勒索軟件“WannaCry”防護手冊[R/OL].(2017-05-13)

https://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html

[8] 安天.安天應對魔窟勒索軟件“WannaCry”周一開機指南[R/OL].(2017-05-14)

https://www.antiy.com/response/Antiy_Wannacry_Guide.html

[9] 安天.安天智甲有效防護LockBit2.0勒索軟件[R/OL].(2021-09-20)

http://8rpec4.com/observe_download/observe_296.pdf

[10] 安天.GANDCRAB勒索軟件著眼“達世幣”，安天智甲有效防護[R/OL].(2018-02-28)

https://www.antiy.com/response/20180228.html

[11] 安天.勒索攻擊的四種分工角色[R/OL].(2021-11-23)

https://mp.weixin.qq.com/s/oMneQmmYQF5B4nWVulJl1g

[12] 安天.勒索攻擊的兩種典型模式[R/OL].(2021-11-23)

https://mp.weixin.qq.com/s/nrbVpjA2-jfTzjojbyFpJA.

[13] 安天. “勒索攻擊殺傷鏈”分析[R/OL].(2021-11-24)

https://mp.weixin.qq.com/s/24bIz-e4_Ts-Th0ecCWfgQ

[14] 安天.勒索攻擊的四種勒索類型與五種攻擊特征[R/OL].(2021-11-25)

https://mp.weixin.qq.com/s/RL4E9v4wvazgj2UNdbMypA

[15] 安天.十類典型勒索家族[R/OL].(2021-11-26)

https://mp.weixin.qq.com/s/Jmz58xQBcytCIWx51yxBTQ

[16] 安天.勒索攻擊發展趨勢[R/OL].(2021-11-26)

https://mp.weixin.qq.com/s/1wehEDr7dTo-wdJYzfoS-A

[17] 中國信通院.勒索病毒安全防護手冊[R/OL].(2021-09)

http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/P020210908503958931090.pdf

[18] 安天.安天產品助力用戶有效防護勒索攻擊[R/OL].(2021-11-01)

https://mp.weixin.qq.com/s/nOfhqWiw6Xd7-mvMt2zfX

<sub id="kp5n7"></sub>

<legend id="kp5n7"><track id="kp5n7"></track></legend>