近期，天融信諦聽實驗室關(guān)注到LockBit勒索軟件團伙發(fā)布了最新版本勒索軟件LockBit 3.0，其引入了Zcash加密貨幣支付選項、新的勒索策略及首個勒索軟件漏洞賞金計劃。自2019年以來，該團伙提供的勒索軟件即服務（RaaS）操作一直活躍，經(jīng)過兩個月的beta測試，LockBit改進后的新版本已用于攻擊。據(jù)泄露數(shù)據(jù)站點的統(tǒng)計表明，在2022年第一季度所有與勒索軟件相關(guān)的泄露事件中，LockBit占比46%。僅在今年6月中，就有44起網(wǎng)絡攻擊與該組織有關(guān)，LockBit顯然已成為最活躍的勒索軟件團伙。

近年來，勒索軟件攻擊高速增長，已成為網(wǎng)絡世界的一種流行病，除交贖金外，幾乎無解。目前，天融信EDR、自適應防御系統(tǒng)等產(chǎn)品均可精準檢測并查殺該勒索病毒，有效防止勒索事件發(fā)生，強化終端網(wǎng)絡安全，積極營造清朗的網(wǎng)絡空間環(huán)境。

樣本分析

LockBit3.0版本勒索軟件的贖金記錄不再稱為“Restore-My-Files.txt”，而是改為命名格式[id].README.txt，如圖所示以下。此外，該項目已重命名為 LockBit Black。

LockBit 3.0版本的運行增加了參數(shù)校驗，需要輸入如下正確的參數(shù)才能成功執(zhí)行。

運行后會立即解密出PE文件中各區(qū)段的真實代碼信息，之后跳轉(zhuǎn)到解密后的代碼中執(zhí)行。

在獲取到系統(tǒng)函數(shù)的地址后，生成解密API函數(shù)的指針表，相當于給系統(tǒng)API調(diào)用加了一個簡單的執(zhí)行解密殼。

之所以說LockBit與BlackMatter極其相似，是因為其配置文件的解密與BlackMatter幾乎如出一轍，許多配置數(shù)據(jù)需要單字節(jié)異或、APLIB解壓縮、Base64編碼等多種解碼后方能看到原始數(shù)據(jù)。詳情解密方法及腳本可以參考https://research.openanalysis.net/lockbit/lockbit3/yara/triage/ransomware/2022/07/07/lockbit3.html。

檢查系統(tǒng)使用的語言。當前系統(tǒng)主機中的語言如果屬于下列語言類型勒索軟件會直接退出。包括阿塞拜疆文（西里爾文、阿塞拜疆）、阿塞拜疆文（拉丁文、阿塞拜疆）、亞美尼亞文（亞美尼亞）、白俄羅斯文（白俄羅斯）、格魯吉亞文（格魯吉亞）、哈薩克文（哈薩克斯坦）、吉爾吉斯文（吉爾吉斯斯坦）、俄文（摩爾多瓦）、俄文（俄羅斯）、塔吉克文（西里爾文、塔吉克斯坦）、土庫曼文（土庫曼斯坦）、烏茲別克文（西里爾文、烏茲別克斯坦）、烏茲別克文（拉丁文、烏茲別克斯坦）、烏克蘭文（烏克蘭）。

LockBit的所有參數(shù)、服務名稱、進程名稱、后綴名稱、文件名稱都使用一個算法函數(shù)進行不可逆變換后進行校驗，這樣的好處是避免在內(nèi)存中直接暴露含有大量敏感的字符串列表。字符串校驗的算法如下圖所示，該算法對字符串的每一個字符進行ROR循環(huán)右移0xDh次，如果字符為大寫字母加上原字符HEX數(shù)值異或0x20h，否則直接加上字符的HEX數(shù)值，最終得到的字符串是一個不可逆的32位HEX數(shù)值。如“txt”對應HEX數(shù)值0xEBA01E00h。

勒索軟件運行中必須使用的字符串則通過在棧中異或0x4506DFCAh再取反后來解密字符串，字符串解密的IDApython腳本可以參考源項目

https://github.com/StupidBird-Code/Malware_Analysize-Tools/blob/main/lockbit3.0_decrypt.py。

之后循環(huán)提權(quán)，分別獲取SeBackupPrivilege、SeManageVolumePrivilege、SeTakeOwnershipPrivilege、SeDebugPrivilege等權(quán)限，主要目的是可以結(jié)束掉干擾加密過程的進程和服務并具備足夠高的權(quán)限進行加密文件。

創(chuàng)建互斥量

Global\2cae82bd1366f4e0fdc7a9a7c12e2a6b

LockBit在加密所有文件前的準備工作基本在新建的多個線程中完成。其中第一個線程啟用Windows系統(tǒng)自帶的TrustedInstaller服務。

并枚舉系統(tǒng)所有服務狀態(tài)，根據(jù)服務名稱字符串的校驗算法結(jié)束掉特定服務進程。結(jié)束的服務進程包括以下服務名稱：

第二個線程調(diào)用CoCreateInstance等系統(tǒng)API執(zhí)行WMI語句刪除卷影副本，主要目的是防止數(shù)據(jù)被恢復。

第三個線程在加密過程中會枚舉系統(tǒng)中運行的所有進程，并結(jié)束以下名稱的進程：

第四個線程執(zhí)行IOCP多線程處理的程序，后續(xù)用于加密并寫入文件內(nèi)容。此外LockBit在獲取磁盤信息時，創(chuàng)建新線程調(diào)用GetLogicalDriveStringsW和GetDriveTypeW兩個關(guān)鍵API，此種代碼行為應該是為了規(guī)避安全軟件在動態(tài)執(zhí)行中的API序列行為監(jiān)測。

勒索軟件在加密過程中會排除以下后綴的文件：

在加密過程中會排除以下名稱的文件：

排除包含以下名稱的文件夾路徑：

加密過程中LockBit會為每一個文件生成新的七個字母名稱，以".HLJkNskOq"為固定后綴，之后調(diào)用MoveFileEx函數(shù)改變被加密文件的名稱。

之后在高優(yōu)先級的多個IOCP處理線程中加密并寫入文件數(shù)據(jù)，實現(xiàn)高性能的加密速度。勒索前后采用了RSA算法和自定義的算法加密文件，本質(zhì)上無法解密被加密文件。

被LockBit 3.0加密后的文件圖標會被修改為黑色的“B”字樣。勒索軟件將設(shè)計好的圖標文件釋放在C:\ProgramData\HLJkNskOq.ico路徑下，并在注冊表中創(chuàng)建HKCR\HLJkNskOq\DefaultIcon\(Default)項目，設(shè)置.HLJKNskOq后綴的默認圖標路徑為此ico。

最終在ico圖標文件的同目錄下釋放bmp文件，通過修改注冊表將其設(shè)置為桌面背景。

在每個目錄下釋放的勒索的提示信息如下：

樣本IOCs列表

防護建議

1、及時修復系統(tǒng)漏洞，降低被LockBit勒索病毒通過漏洞入侵的風險；

2、加強訪問控制，關(guān)閉不必要的端口，禁用不必要的連接，降低資產(chǎn)風險暴露面；

3、更改系統(tǒng)及應用使用的默認密碼，配置高強度密碼認證，并定期更新密碼，防止弱口令攻擊；

4、可安裝天融信安全產(chǎn)品加強防護，天融信EDR系統(tǒng)、自適應安全防御系統(tǒng)，可有效防御該勒索病毒。

產(chǎn)品介紹

■天融信EDR系統(tǒng)防御配置

1、開啟勒索病毒誘捕，阻斷加密行為，防護勒索病毒威脅；

2、通過微隔離策略加強訪問控制，降低橫向感染風險；

3、開啟文件實時監(jiān)控功能，可有效預防和查殺該勒索病毒。

■天融信自適應安全防御系統(tǒng)防御配置

1、開啟病毒實時監(jiān)測功能，可有效預防和查殺該勒索病毒；

2、通過微隔離策略加強訪問控制，降低橫向感染風險；

3、通過風險發(fā)現(xiàn)功能掃描系統(tǒng)是否存在相關(guān)漏洞和弱口令，降低風險、減少資產(chǎn)暴露；

——?產(chǎn)品獲取方式?——

天融信自適應安全防御系統(tǒng)、天融信EDR系統(tǒng)企業(yè)版試用（可通過天融信全國分支機構(gòu)獲?。?/span>

http://gdxsl.cn/contact/

天融信EDR系統(tǒng)單機版下載地址：

http://edr.topsec.com.cn

TOPSEC

勒索病毒作為網(wǎng)絡世界流行病，近年來屢屢對各類組織機構(gòu)的業(yè)務安全乃至社會秩序造成重大威脅。天融信始終深耕產(chǎn)品、技術(shù)與服務，致力于網(wǎng)絡安全保障體系建設(shè)，不斷為客戶提供完備的產(chǎn)品服務化體驗，助力國家網(wǎng)絡安全產(chǎn)業(yè)健康與可持續(xù)發(fā)展。