0.前言
LockBit 已成为全球网络安全领域的重大威胁,对包括全球医院和企业在内的关键基础设施发起了一系列严重的勒索软件攻击。该组织的勒索病毒对受害者的数据进行加密,使其无法访问,然后要求支付巨额赎金进行解密。
LockBit 3.0是LockBit勒索软件家族的最新版本,它在网络安全威胁中占据重要地位。以下是对LockBit 3.0的历史发展和目前现状的详细介绍:
-
LockBit初版(2019年)
-
首次出现:LockBit首次在2019年被发现,当时它被称为"ABCD"勒索软件。其设计目标是通过快速加密受害者的文件来勒索赎金。
-
传播方式:主要通过钓鱼邮件和利用漏洞进行传播。其主要特征是高效的加密机制和快速的传播速度。
-
-
LockBit 2.0(2020年)
-
改进特性:2020年,LockBit 2.0发布,增加了自动化攻击功能,使其能够更有效地在网络中横向传播。
-
双重勒索策略:开始采用双重勒索策略,不仅加密数据,还窃取敏感信息并威胁公开,增加了受害者支付赎金的压力。
-
-
LockBit 3.0(2022年)
-
进一步增强:LockBit 3.0引入了更多反检测技术,如代码混淆和反虚拟化检测,增强了逃避安全检测的能力。
-
勒索软件即服务(RaaS):LockBit 3.0作为RaaS平台,允许更多网络犯罪分子(称为附属者)使用其勒索软件进行攻击,并分享赎金收入。平台运营者和附属者之间按比例分配赎金。
-
总的来说,LockBit 3.0仍然是全球范围内最活跃的勒索软件之一,针对各类组织进行攻击,包括企业、政府机构、医疗机构和教育机构;作为RaaS平台,LockBit 3.0吸引了大量附属者,他们通过使用LockBit的勒索软件进行攻击,并将赎金与平台运营者共享。这种模式使得LockBit 3.0在黑市中非常受欢迎。
正因LockBit团伙的猖狂,全球各国执法机构加大了对勒索软件的打击力度,多次成功捣毁了该勒索软件团伙,并抓捕了相关犯罪分子。在 2024 年 5 月 7 日星期二,通过其中一个被查获的域名披露了该组织领导人的身份,该领导人现在被确定为 Dmitry Yuryevich Khoroshev或 LockBitSupp。美国国务院还宣布,对任何导致Khoroshev被捕的信息,悬赏高达1000万美元。
1.背景
2024年5月3日,某金属制造公司的服务器遭受了勒索软件攻击,随后向我司寻求帮助进行恢复。经过我司溯源排查,判断黑客通过Mimikatz、MSF等渗透工具进行信息打点和漏洞探测,通过永恒之蓝漏洞获取客户公司服务器权限,并横向控制10余台服务器,最终植入病毒,致使客户服务器数据无法读取,导致多个重要系统被锁无法使用。
经分析,确认该病毒家族为Lockbit,加密之后的文件后缀为.igf3kDl7oz。我司数据恢复专家通过多种数据恢复手段成功将文件全部恢复,经负责人确认恢复文件内容无误。
在2024年5月3日至2024年5月8日期间,我司组织了18人次的应急响应团队,为客户受害服务器提供数据备份、溯源分析、漏洞修复、网络排查、渗透测试、安全加固等多项工作。同时,公司网络安全实验室的多位安全专家参与了病毒的逆向分析、日志溯源分析和数据恢复工作,运维专家根据目前现场运维环境及网络架构提出了针对性的安全建设意见。整体圆满完成各项任务,达到客户要求指标。
2.溯源分析
本次溯源内容涉及客户信息,均已修改IP及服务器名称。
2.1 受灾情况统计
2024年5月4日,Solar应急响应团队到达该集团现场,对受灾服务器进行断网并排查,最终排查情况如下:
被加密服务器数量 | 12台 |
---|---|
被加密文件总数 | 287938个 |
被加密数据大小 | 17.45TB |
后门木马 | 62个 |
黑客利用工具 | 7个 |
数据恢复时长 | 1天 |
数据恢复率 | 99% |
统计出的被加密服务器情况:
顺序 | IP | 服务器名称 | 加密时间 | 文件总数 | 加密文件总数 |
---|---|---|---|---|---|
1 | 198.11.22.1 | 1 | 2024/4/16 22:36 | 675675 | 14938 |
2 | 198.11.22.2 | 2 | 2024/4/17 3:37 | 7686783 | 32435 |
3 | 198.11.22.3 | 3 | 2024/4/17 2:11 | 1653433 | 57963 |
4 | 198.11.22.4 | 4 | 2024/4/16 23:52 | 267543 | 17735 |
5 | 198.11.22.5 | 5 | 2024/4/17 0:19 | 4350670 | 768345 |
6 | 198.11.22.6 | 6 | 2024/4/17 2:06 | 12373675 | 2782342 |
后续省略。。。 |
表中数据已脱敏,仅作示例参考
2.2 海康监控溯源
通过对海康监控服务器日志分析发现 198.11.22.13于2024/4/17 13:24:16被境外恶意IP 94.232.46.250 登录。
图1 海康监控被远程登录
2.3 确定跳板机
通过对 198.11.22.2 等服务器日志分析过程中发现大部分服务器在被勒索前被 198.11.22.8 于2024/4/16晚~2024/4/17凌晨登录过。
图2 被198.11.22.8远程登录
于是对198.11.22.8进行着重分析,在 198.11.22.8上发现了攻击者使用的工具,包括扫描器net64.exe、漏洞攻击框架Metasploit Framework、加密器、凭证窃取工具 mimikatz。
图3 扫描器
Metasploit Framework(MSF)是一款开源安全漏洞检测工具,附带数千个已知的软件漏洞,并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程。
图4 漏洞攻击框架 MSF
图5 加密器
Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具,本意是用来个人测试,但由于其功能强大,能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具。
图6 mimikatz
攻击者将 198.11.22.8作为跳板,使用 mimikatz 窃取其凭据,并通过窃取到的密码、变形密码、Hash 、服务器上的相关文件内的密码等对内网其他服务器进行撞库攻击,成功登录10余台服务器。
通过对198.11.22.8工具使用记录进行分析,发现 198.11.22.8通过 Metasploit Framework 对198.11.22.9、198.11.22.10、198.11.22.6、198.11.22.5 进行了永恒之蓝攻击,进而实施加密勒索
图7 MSF 历史记录
2.4 追溯198.188.22.8的上层控制节点
追溯198.11.22.8的上层控制节点通过对198.11.22.8服务器日志进行分析,在恶意文件创建前,198.11.22.8 曾被 198.11.22.99登录过。
198.11.22.99 在 2024-04-16 08:42:00 登录 198.11.22.8 ,登录ID为 0xEAF65
图8 198.11.22.99 登录 198.11.22.8
在 2024-04-16 16:27:08 ,198.11.22.99 再次登录 198.11.22.8
图9 198.11.22.99 登录 198.11.22.8
2024-04-16 16:47:18 在 198.11.22.8 上被创建新用户 admin 并启用,创建用户时的事件对应的登录ID 为 0xEAF65,即 198.11.22.99 登录获得的登录ID。
图10 198.11.22.8 被添加新用户 admin
图11 启用 admin 用户
2024-04-16 18:45 在 198.11.22.8上出现 mimikatz 等工具的快捷方式。
图12 mimikatz 快捷方式
因此 198.11.22.8 被 198.11.22.99 控制并进行了一系列操作,同时 198.11.22.99 是一台 Window 7 SP1 的运维终端,其RDP服务器映射到了公网,因此 198.11.22.99 是 198.11.22.8 的上一级控制节点
2.5 分析入口点
通过对 198.11.22.99 进行分析,发现 198.11.22.99 上存在大量破解软件,通过杀毒程序进行扫描,发现大量病毒。
图13 198.11.22.99 病毒扫描结果 1
图14 198.11.22.99 病毒扫描结果 2
通过对 systeminfo 中补丁信息进行分析,发现其对公网开放的RDP服务存在 bluekeep 漏洞,即 CVE-2019-0708 ,该漏洞部分 PoC 不稳定,稳定 PoC 可直接达到远程代码执行的效果。通过对日志进行分析,发现RDP服务一直被持续地暴力破解,并在 2024/4/11 10:10:17 曾被境外IP 91.240.118.211成功登陆。
图15 198.11.22.99 被境外IP登录
因此推测 198.11.22.99 为攻击者的入口点。
2.6 详细攻击路径
攻击者疑似自2022年始至2024年4月17日,对运维机进行了长期的RDP暴力破解攻击。**于2024/4/11 10:10:17被境外IP 91.240.118.211成功登陆,该IP被研判为恶意地址。**运维机于2024/4/16 16:27:08异常登录了泛微服务器,并在登录成功后创建了admin用户,随后分别登陆了admin和Administrator用户,且在这两个用户目录之中上传了MSF控制程序、扫描器、加密器文件。于16日晚至17日凌晨(16日晚21:10至17日2:57),通过远程登录了10余台其他服务器,并通过永恒之蓝漏洞利用明源服务器、用友服务器、DNS服务器、vencter服务器,黑客在登录或利用成功后的短时间内开始文件加密。加密最早于2024/4/16 22:36开始,最晚于2024/4/17 5:00结束。
3.恶意文件分析
3.1 基础信息
文件名 | 1.exe |
---|---|
文件大小 | 160256 bytes |
操作系统 | Windows |
架构 | i386 |
类型 | exe |
字节序 | Little Endian |
MD5 | d5e15c0f4ed75debc93c1842cda313f5 |
SHA1 | 2dd9186e6509f65df6adaadb6a588f6a7fe49d84 |
SHA256 | 3e2d37a5f3352353817762dc6e46d46f5bac9c9a7cb046097c18b513ca4c10ee |
3.2 勒索信
~~ LockBit 3.0 the world's fastest and most stable ransomware from 2019~~~
>>>>> Your data is stolen and encrypted.
BLOG Tor Browser Links:
http://lockbit3753ekiocyo5epmpy6klmejchjtzddoekjlnt6mu3qh4de2id.onion/
http://lockbit3g3ohd3katajf6zaehxz4h4cnhmz5t735zpltywhwpc6oy3id.onion/
http://lockbit3olp7oetlc4tl5zydnoluphh7fvdt5oa6arcp2757r7xkutid.onion/
http://lockbit435xk3ki62yun7z5nhwz6jyjdp2c64j5vge536if2eny3gtid.onion/
http://lockbit4lahhluquhoka3t4spqym2m3dhe66d6lr337glmnlgg2nndad.onion/
http://lockbit6knrauo3qafoksvl742vieqbujxw7rd6ofzdtapjb4rrawqad.onion/
http://lockbit7ouvrsdgtojeoj5hvu6bljqtghitekwpdy3b6y62ixtsu5jqd.onion/
>>>>> What guarantee is there that we won't cheat you?
We are the oldest ransomware affiliate program on the planet, nothing is more important than our reputation. We are not a politically motivated group and we want nothing more than money. If you pay, we will fulfill all the terms we agree on during the negotiation process. Treat this situation simply as a paid training session for your system administrators, because it was the misconfiguration of your corporate network that allowed us to attack you. Our pentesting services should be paid for the same way you pay your system administrators salaries. You can get more information about us on Ilon Musk's Twitter https://twitter.com/hashtag/lockbit?f=live
>>>>> You need to contact us on TOR darknet sites with your personal ID
Download and install Tor Browser https://www.torproject.org/
Write to the chat room and wait for an answer, we'll guarantee a response from us. If you need a unique ID for correspondence with us that no one will know about, ask it in the chat, we will generate a secret chat for you and give you his ID via private one-time memos service, no one can find out this ID but you. Sometimes you will have to wait some time for our reply, this is because we have a lot of work and we attack hundreds of companies around the world.
Tor Browser personal link for CHAT available only to you (available during a ddos attack):
http://lockbit74beza5z3e3so7qmjnvlgoemscp7wtp33xo7xv7f7xtlqbkqd.onion
Tor Browser Links for CHAT (sometimes unavailable due to ddos attacks):
http://lockbit5eevg7vec4vwwtzgkl4kulap6oxbic2ye4mnmlq6njnpc47qd.onion
http://lockbit74beza5z3e3so7qmjnvlgoemscp7wtp33xo7xv7f7xtlqbkqd.onion
http://lockbit75naln4yj44rg6ez6vjmdcrt7up4kxmmmuvilcg4ak3zihxid.onion
http://lockbit7a2g6ve7etbcy6iyizjnuleffz4szgmxaawcbfauluavi5jqd.onion
http://lockbitaa46gwjck2xzmi2xops6x4x3aqn6ez7yntitero2k7ae6yoyd.onion
http://lockbitb42tkml3ipianjbs6e33vhcshb7oxm2stubfvdzn3y2yqgbad.onion
http://lockbitcuo23q7qrymbk6dsp2sadltspjvjxgcyp4elbnbr6tcnwq7qd.onion
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>> Your personal Black ID: <<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Warning! Do not delete or modify encrypted files, it will lead to problems with decryption of files!
>>>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.
3.3 程序分析
3.3.1 威胁分析
病毒家族 | Lockbit家族 |
---|---|
威胁类型 | 勒索软件, 加密病毒 |
加密文件扩展名 | .igf3kDl7oz |
有无免费解密器? | 无 |
检测名称 | Acronis (Static ML)(Suspicious),AhnLab-V3(Ransomware/Win.LockBit.R521938),AliCloud(RansomWare:Win/Lockbit.x1glab),ALYac(Gen:Variant.Ransom.Lockbit.191),Antiy-AVL(Trojan[Ransom]/Win32.BlackMatter),Arcabit(Trojan.Ransom.Lockbit.191),Avast(Win32:Evo-gen [Trj]),AVG(Win32:Evo-gen [Trj]),Avira (no cloud)(BDS/ZeroAccess.Gen7),BitDefender(Gen:Variant.Ransom.Lockbit.191),BitDefenderTheta(AI:Packer.1705B3CE1D),Bkav Pro(W32.AIDetectMalware),ClamAV(Win.Ransomware.Lazy-10003135-0) |
症状 | 无法打开存储在计算机上的文件,以前功能的文件现在具有不同的扩展名(例如,my.docx.igf3kDl7oz)。桌面上或一些目录下出现igf3kDl7oz.README.txt文件。网络犯罪分子要求支付赎金(通常以比特币)来解锁您的文件。 |
受灾影响 | 所有文件都经过加密,如果不支付赎金就无法打开。重要系统无法使用,对客户公司影响极大。 |
3.3.2 文件结构分析
通过分析软件,可以看到入口点未被识别,说明存在加壳或混淆。
3.3.2.1 nullsub_1
第一个函数是简单的retn,可能为了迷惑沙箱。
3.3.2.2 sub_bf8214
第二个函数主要是加载所需的模块,使用hash比对的方法加载模块,获取api地址,混淆api的调用,使得无法直接分析获得api地址。
getfuncaddr函数中,先递归获取ldrloaddll(等同于loadlibrary)和LdrGetProcedureAddress(等同于GetProcAddress)的地址.获取地址的方法是遍历dll导出表,计算函数名字符串的hash,把hash和预先算好的值比较,相等则得到对应函数的地址。
Getstrhash是获取字符串checksum的函数,大小写不敏感。
Obfus_iat_per_dll函数中,hash加载dll后,再用hash获取函数地址,之后随机生成四种模式的加密混淆iat,写入程序自己的导入表。
执行NtSetInformationThread,参数为0x11,使得调试器无法在程序线程中下断点。
数据为生成随机数的函数。
调用alloc_and_antidebug,分配内存的同时检测NtGlobalFlag。
同样的,生成的函数地址也被混淆了,混淆方法大同小异。
随机数生成函数。
3.3.2.3 sub_BFB7B4
Dec_base64s:解密一些base64数据,写入全局字符串。
Judge_lang:判断语言是否为俄语,是则退出。
接下来检测权限,如果不为高权限,则继续提权。
获取后缀名.把使用md5生成的随机uuid进行base64编码,替换特定字符后,就变成了勒索信的后缀名中的一部分。
生成的uuid。
解密字符串,得到勒索信的完整文件名。
根据常量枚举令牌,尝试提权。
判断是否提权成功。
若未成功,则读取explorer.exe的令牌,再次尝试提权。
3.3.2.4 sub_C08EC8
读取命令行,判断是否输入了密码。
未输入密码则执行下面的逻辑:
生成互斥锁,名称如下:
根据系统分辨率判断是否存在显示器,然后创建提权线程:
复制explorer.exe的令牌,提权。
寻找进程也是通过字符串哈希的方式。
同样的哈希比对杀死系统中的一些服务,如Sppsvc,windows defender的Windefend等等。
启动trustinstaller服务,便于篡改系统文件。
回到输入密码的地方.在命令行随意输入一个字符串。
可以看到,病毒计算字符串的hash并与指定值比对,比对正确后进行进一步操作。
4.数据恢复
Solar团队安排工程师去到客户现场,线下协助客户进行勒索病毒数据恢复,最终成功恢复了被加密的数据文件,同时还对客户的网络安全情况做了全面的评估,并提供了相应的解决方法和建设思路,获得了客户的高度好评。
数据恢复前
数据恢复后
5.后门排查
完成解密后,Solar团队使用专用后门排查工具对客户服务器的自启动项、计划任务、可疑网络连接、账号密码强度、可疑进程等项目进行了排查,将遗留后门全部清除。并对隐患项提出了安全加固建议,确保不存在遗留后门,并对服务器进行快照及备份处理。下表为安全加固排查总表:
4.渗透测试
本次渗透测试经客户授权前提下操作
4.1 渗透测试结果
本次渗透测试目标为:
本次渗透测试共发现29个漏洞,其中22个高危,7个中危,漏洞类型包括:MS17-010漏洞、弱口令漏洞、命令执行漏洞、目录遍历漏洞、未授权访问
5.安全建议
5.1 风险消减措施
**资产梳理排查目标:**根据实际情况,对内外网资产进行分时期排查
**服务方式:**调研访谈、现场勘查、工具扫描
**服务关键内容:**流量威胁监测系统排查、互联网暴露面扫描服务、技术加固服务、集权系统排查
5.2 安全设备调优
目标
通过对安全现状的梳理和分析,识别安全策略上的不足,结合目标防御、权限最小化、缩小攻击面等一系列参考原则,对设备的相关配置策略进行改进调优,一方面,减低无效或低效规则的出现频次;另一方面,对缺失或遗漏的规则进行补充,实现将安全设备防护能力最优化。
主要目标设备
网络安全防护设备、系统防护软件、日志审计与分析设备、安全监测与入侵识别设备。
5.3全员安全意识增强
目标:
通过网络安全意识宣贯、培训提升全方位安全能力
形式:
培训及宣贯
线下培训课表
若无法组织线下的集体培训,考虑两种方式:
1.提供相关的安全意识培训材料,由上而下分发学习
2.组织相关人员线上开会学习。线上培训模式。
线上学习平台
6.团队介绍
solar团队数年深耕勒索解密与数据恢复领域,在勒索解密和数据恢复领域建立了良好的声誉,以高效、安全、可靠的解决方案赢得了客户的信任。无论是个人用户还是大型企业,都能提供量身定制的服务,确保每一个被勒索软件侵害的数据都能够恢复到最佳状态,同时在解密数据恢复后,提供全面的后门排查及安全加固服务,杜绝二次感染的风险。同时,solar团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS(信息技术服务运行维护标准四级)以及国家信息安全漏洞库(CNNVD)技术支撑单位等认证,已构建了网络安全行业合格的资质体系。
7 .数据恢复服务流程
多年的数据恢复处理经验,在不断对客户服务优化的过程中搭建了"免费售前+安心保障+专业恢复+安全防御"一体化的专业服务流程。
① 免费咨询/数据诊断分析
专业的售前技术顾问服务,免费在线咨询,可第一时间获取数据中毒后的正确处理措施,防范勒索病毒在内网进一步扩散或二次执行,避免错误操作导致数据无法恢复。
售前技术顾问沟通了解客户的机器中毒相关信息,结合团队数据恢复案例库的相同案例进行分析评估,初步诊断分析中毒数据的加密/损坏情况。
② 评估报价/数据恢复方案
您获取售前顾问的初步诊断评估信息后,若同意进行进一步深入的数据恢复诊断,我们将立即安排专业病毒分析工程师及数据恢复工程师进行病毒逆向分析及数据恢复检测分析。
专业数据恢复工程师根据数据检测分析结果,定制数据恢复方案(恢复价格/恢复率/恢复工期),并为您解答数据恢复方案的相关疑问。
③ 确认下单/签订合同
您清楚了解数据恢复方案后,您可自主选择以下下单方式:
双方签署对公合同:根据中毒数据分析情况,量身定制输出数据恢复合同,合同内明确客户的数据恢复内容、数据恢复率、恢复工期及双方权责条款,双方合同签订,正式进入数据恢复专业施工阶段,数据恢复后进行验证确认,数据验证无误,交易完成。
④ 开始数据恢复专业施工
安排专业数据恢复工程师团队全程服务,告知客户数据恢复过程注意事项及相关方案措施,并可根据客户需求及数据情况,可选择上门恢复/远程恢复。
数据恢复过程中,团队随时向您报告数据恢复每一个节点工作进展(数据扫描 → 数据检测 → 数据确认 → 恢复工具定制 → 执行数据恢复 → 数据完整性确认)。
⑤ 数据验收/安全防御方案
完成数据恢复后,我司将安排数据分析工程师进行二次检查确认数据恢复完整性,充分保障客户的数据恢复权益,二次检测确认后,通知客户进行数据验证。
客户对数据进行数据验证完成后,我司将指导后续相关注意事项及安全防范措施,并可提供专业的企业安全防范建设方案及安全顾问服务,抵御勒索病毒再次入侵。