0.前言
-
LockBit初版(2019年) -
首次出现:LockBit首次在2019年被发现,当时它被称为“ABCD”勒索软件。其设计目标是通过快速加密受害者的文件来勒索赎金。 -
传播方式:主要通过钓鱼邮件和利用漏洞进行传播。其主要特征是高效的加密机制和快速的传播速度。 -
LockBit 2.0(2020年) -
改进特性:2020年,LockBit 2.0发布,增加了自动化攻击功能,使其能够更有效地在网络中横向传播。 -
双重勒索策略:开始采用双重勒索策略,不仅加密数据,还窃取敏感信息并威胁公开,增加了受害者支付赎金的压力。 -
LockBit 3.0(2022年) -
进一步增强:LockBit 3.0引入了更多反检测技术,如代码混淆和反虚拟化检测,增强了逃避安全检测的能力。 -
勒索软件即服务(RaaS):LockBit 3.0作为RaaS平台,允许更多网络犯罪分子(称为附属者)使用其勒索软件进行攻击,并分享赎金收入。平台运营者和附属者之间按比例分配赎金。
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/8-1715935536.png)
1.背景
2.溯源分析
2.1 受灾情况统计
被加密服务器数量 | 12台 |
---|---|
被加密文件总数 | 287938个 |
被加密数据大小 | 17.45TB |
后门木马 | 62个 |
黑客利用工具 | 7个 |
数据恢复时长 | 1天 |
数据恢复率 | 99% |
统计出的被加密服务器情况:
顺序 | IP | 服务器名称 | 加密时间 | 文件总数 | 加密文件总数 |
---|---|---|---|---|---|
1 | 198.11.22.1 | 1 | 2024/4/16 22:36 | 675675 | 14938 |
2 | 198.11.22.2 | 2 | 2024/4/17 3:37 | 7686783 | 32435 |
3 | 198.11.22.3 | 3 | 2024/4/17 2:11 | 1653433 | 57963 |
4 | 198.11.22.4 | 4 | 2024/4/16 23:52 | 267543 | 17735 |
5 | 198.11.22.5 | 5 | 2024/4/17 0:19 | 4350670 | 768345 |
6 | 198.11.22.6 | 6 | 2024/4/17 2:06 | 12373675 | 2782342 |
后续省略。。。 |
表中数据已脱敏,仅作示例参考
2.2 海康监控溯源
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/10-1715935546.png)
图1 海康监控被远程登录
2.3 确定跳板机
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/9-1715935547.png)
图2 被198.11.22.8远程登录
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/3-1715935549.png)
图3 扫描器
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/10-1715935550.png)
图4 漏洞攻击框架 MSF
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/6-1715935550.png)
图5 加密器
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/0-1715935551.png)
图6 mimikatz
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/2-1715935552.png)
图7 MSF 历史记录
2.4 追溯198.188.22.8的上层控制节点
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/3-1715935552.png)
图8 198.11.22.99 登录 198.11.22.8
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/9-1715935553.png)
图9 198.11.22.99 登录 198.11.22.8
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/6-1715935554.png)
图10 198.11.22.8 被添加新用户 admin
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/6-1715935555.png)
图11 启用 admin 用户
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/9-1715935556.png)
图12 mimikatz 快捷方式
2.5 分析入口点
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/1-1715935556.png)
图13 198.11.22.99 病毒扫描结果 1
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/4-1715935557.png)
图14 198.11.22.99 病毒扫描结果 2
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/8-1715935558.png)
图15 198.11.22.99 被境外IP登录
因此推测 198.11.22.99 为攻击者的入口点。
2.6 详细攻击路径
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/7-1715935559.png)
图16 攻击流程图
3.恶意文件分析
数据恢复前
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/10-1715935580.png)
数据恢复后
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/5-1715935582.png)
5.后门排查
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/4-1715935584.png)
6.渗透测试
本次渗透测试经客户授权前提下操作
6.1 渗透测试结果
本次渗透测试目标为:
7.安全建议
7.1 风险消减措施
资产梳理排查目标:根据实际情况,对内外网资产进行分时期排查
服务方式:调研访谈、现场勘查、工具扫描
服务关键内容:流量威胁监测系统排查、互联网暴露面扫描服务、技术加固服务、集权系统排查
7.2 安全设备调优
目标
主要目标设备
7.3全员安全意识增强
目标:
形式:
线下培训课表
1.提供相关的安全意识培训材料,由上而下分发学习
2.组织相关人员线上开会学习。线上培训模式。
线上学习平台
8.团队介绍
More
9.数据恢复服务流程
① 免费咨询/数据诊断分析
专业的售前技术顾问服务,免费在线咨询,可第一时间获取数据中毒后的正确处理措施,防范勒索病毒在内网进一步扩散或二次执行,避免错误操作导致数据无法恢复。
售前技术顾问沟通了解客户的机器中毒相关信息,结合团队数据恢复案例库的相同案例进行分析评估,初步诊断分析中毒数据的加密/损坏情况。
② 评估报价/数据恢复方案
您获取售前顾问的初步诊断评估信息后,若同意进行进一步深入的数据恢复诊断,我们将立即安排专业病毒分析工程师及数据恢复工程师进行病毒逆向分析及数据恢复检测分析。
专业数据恢复工程师根据数据检测分析结果,定制数据恢复方案(恢复价格/恢复率/恢复工期),并为您解答数据恢复方案的相关疑问。
③ 确认下单/签订合同
您清楚了解数据恢复方案后,您可自主选择以下下单方式:
双方签署对公合同:根据中毒数据分析情况,量身定制输出数据恢复合同,合同内明确客户的数据恢复内容、数据恢复率、恢复工期及双方权责条款,双方合同签订,正式进入数据恢复专业施工阶段,数据恢复后进行验证确认,数据验证无误,交易完成。
④ 开始数据恢复专业施工
安排专业数据恢复工程师团队全程服务,告知客户数据恢复过程注意事项及相关方案措施,并可根据客户需求及数据情况,可选择上门恢复/远程恢复。
数据恢复过程中,团队随时向您报告数据恢复每一个节点工作进展(数据扫描 → 数据检测 → 数据确认 → 恢复工具定制 → 执行数据恢复 → 数据完整性确认)。
⑤ 数据验收/安全防御方案
完成数据恢复后,我司将安排数据分析工程师进行二次检查确认数据恢复完整性,充分保障客户的数据恢复权益,二次检测确认后,通知客户进行数据验证。
客户对数据进行数据验证完成后,我司将指导后续相关注意事项及安全防范措施,并可提供专业的企业安全防范建设方案及安全顾问服务,抵御勒索病毒再次入侵。
粉丝专属抽奖福利
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/2-1715935594.png)
粉丝回馈活动
为回馈粉丝一直以来的支持与陪伴
我们特地策划了这次活动
免费抽奖
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/0-1715935594.png)
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/10-1715935595.png)
奖品
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/0-1715935595.jpeg)
一等奖:宁芝(NIZ)静电容键盘(1200rmb) 1份
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/7-1715935596.jpeg)
二等奖:雷蛇毒蝰V3极速版无线鼠标(500rmb) 2份
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/7-1715935597.jpeg)
三等奖:KFC人气明星餐(50rmb) 20份
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/4-1715935597.png)
参与方式
抽奖时间:2024年5月17日-5月22日
兑奖时间:2024年5月22日-5月25日
需要关注:“solar专业应急响应团队”公众号
回复”抽奖活动”即可获得一次抽奖机会有机会赢取奖品。
第一步
关注“solar专业应急响应团队”公众号
第二步
在公众号后台回复“抽奖活动”
快去试试吧!
看看你是不是“欧皇”!
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/6-1715935598.png)
领奖方式
获奖者请在3日内
扫下方二维码进群
凭获奖页面与微信朋友圈分享截图领取相应奖品
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/4-1715935598.png)
![【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵](https://ctfiot.oss-cn-beijing.aliyuncs.com/uploads/2024/05/5-1715935599.jpeg)
官方公众号
原文始发于微信公众号(solar专业应急响应团队):【成功案例】RDP暴露引发的蝴蝶效应:LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵