LockBit 3.0 更新 | 揭开勒索软件最新的反分析和规避技术

LockBit 3.0 勒索软件（又名LockBit Black）是多产的 LockBit 勒索软件即服务 (RaaS) 系列的演变，其根源可追溯到BlackMatter和相关实体。在2022 年 3 月在 LockBit 2.0 中发现严重错误后，作者开始着手更新他们的加密例程并添加一些旨在阻止研究人员的新功能。

2022 年 6 月，当勒索软件运营商宣布向研究人员提供“漏洞赏金”时，LockBit 3 引起了媒体的兴趣。在这篇文章中，我们概述了 LockBit 3.0 勒索软件更新，并为研究人员提供了 LockBit 3.0 的反分析和规避功能的技术潜水。

LockBit 3.0 自 LockBit 2.0 以来的变化和新功能

2022 年 6 月左右，LockBit 勒索软件背后的运营商和关联公司开始转向 LockBit 3.0。附属公司对 LockBit 3.0 的采用速度很快，在新的“3.0 版”泄漏网站上发现了许多受害者，这些网站是一系列公开博客，命名不合规的受害者并泄露提取的数据。

为了提高弹性，运营商一直积极地为泄露的数据建立多个镜像并公开站点 URL。

LockBit 还在他们的泄密网站上添加了一个即时搜索工具。

LockBit 3.0 的作者为附属机构引入了新的管理功能，并在门罗币和比特币之外添加了 Zcash 用于受害者付款。

勒索软件作者还声称已经开设了一个公开的“漏洞赏金”计划。从表面上看，这似乎是为了提高恶意软件的质量，并在经济上奖励那些提供帮助的人。

Lockbit 勒索软件组织今天宣布 Lockbit 3.0 正式发布，并附有以下信息：“让勒索软件再次伟大！”

此外，Lockbit 还推出了自己的漏洞赏金计划，为知名人士、网络安全漏洞等支付 PII……pic.twitter.com/ ByNFdWe4Ys

— vx-underground (@vxunderground) 2022 年 6 月 26 日

最重要的是，任何能够发现该计划联盟经理身份的人都可以获得 100 万美元的奖励。可以理解的是，鉴于运营商的犯罪性质，潜在的研究人员可能会发现向犯罪软件机构报告错误可能不会导致承诺的支出，但可能会导致执法部门的刑事指控。

LockBit 3.0 有效负载和加密

更新的 LockBit 有效负载保留了 LockBit 2.0 的所有先前功能。

LockBit 勒索软件有效载荷的初始交付通常通过 Cobalt Strike 等第三方框架处理。与 LockBit 2.0 一样，我们也看到其他恶意软件组件的感染链也发生了，例如SocGholish感染释放了 Cobalt Strike，而 Cobalt Strike 反过来又提供了 LockBit 3 勒索软件。

有效负载本身是标准的 Windows PE 文件，与前几代 LockBit 以及 BlackMatter 勒索软件系列非常相似。

LockBit 勒索软件有效负载旨在以管理权限执行。如果恶意软件没有必要的权限，将尝试绕过 UAC ( CMSTP )。

LockBit 3.0 通过安装系统服务实现持久化。有效负载的每次执行都会安装多个服务。我们观察到以下服务名称与 LockBit 3.0 勒索软件有效负载结合使用。

SecurityHealthService 

Sense 

sppsvc 

WdBoot 

WdFilter 

WdNisDrv 

WdNisSvc 

WinDefend 

wscsvc 

vmicvss 

vmvss 

VSS 

EventLog

与以前的版本一样，LockBit 3.0 将尝试识别并终止特定服务（如果发现）。以下服务名称将在分析的 LockBit 3.0 示例中终止：

backup

GxBlr 

GxCIMgr 

GxCVD 

GxFWD 

GxVss 

memtas 

mepocs 

msexchange 

sophos 

sql 

svc$ 

veeam 

vss

此外，以下进程将被终止：

agntsvc 

dbeng50 

dbsnmp 

encsvc 

excel 

firefox 

infopath 

isqlplussvc 

msaccess 

mspub 

mydesktopqos 

mydesktopservice 

notepad 

ocautoupds 

ocomm 

ocssd 

onenote 

oracle 

outlook 

powerpnt 

registry 

sqbcoreservice 

steam 

synctime 

tbirdconfig 

thebat 

Thunderbird 

visio 

winword

wordpad 

xfssvccon

LockBit 3.0 将自身的副本写入%programdata%目录，然后从此进程启动。

加密阶段非常迅速，即使在传播到相邻主机时也是如此。勒索软件有效载荷能够在一分钟内完全加密我们的测试主机。

在执行时，LockBit 3.0 勒索软件将丢弃新格式化的勒索记录以及桌面背景的更改。有趣的是，记事本和写字板包含在如上所述的规定进程列表中。因此，如果受害者试图在勒索信被丢弃后立即打开它，它会立即关闭，因为该进程被阻止，直到勒索软件完成执行。

新的 LockBit 3.0 勒索软件桌面壁纸是黑色背景上的简单文本消息。

附加到新加密文件的扩展名也会因活动或样本而异。例如，我们见过“HLJkNskOq”和“futRjC7nx”。加密文件和赎金记录都将在前面加上特定于活动的字符串。

futRjC7nx .README   

HLJkNskOq .README

在我们的分析过程中，我们观察到受感染的机器在勒索软件负载启动后大约 10 分钟不正常地关闭。这种行为可能因样本而异，但值得注意。

感染后，LockBit 3.0 受害者被指示通过其基于 TOR 的“支持”门户与攻击者联系。

LockBit 3 反分析和规避

LockBit 3.0 勒索软件使用多种反分析技术来阻碍静态和动态分析，在这方面与BlackMatter 勒索软件有相似之处。这些技术包括代码打包、函数地址的混淆和动态解析、函数蹦床和反调试技术。在本节中，我们将介绍 LockBit 3.0 使用的一些反分析技术。

LockBit 3.0 有效负载需要特定的密码才能执行。密码对每个样本或活动都是唯一的，如果密码没有与样本一起恢复，则会阻碍动态和沙盒分析。Egregor和BlackCat勒索软件也使用了类似的技术。执行时通过-pass参数提供密码短语。例如，

lockbit .exe  -pass  XX66023ab2zyxb9957fb01de50cdfb6

位于 LockBit 3.0 有效负载中的加密内容在运行时使用 XOR 掩码进行解密。下图显示了勒索软件.text在（标签 1）和之后（标签 2）勒索软件解密分段内容之前的可执行分段的内容。该.text段从虚拟地址0x401000开始。

LockBit 3.0 也是先存储在堆内存中，然后使用蹦床来执行函数，例如 Windows 系统调用NtSetInformationThread和ZwProtectVirtualMemory. 勒索软件使用 XOR 和/或位旋转混淆技术对蹦床执行的函数地址进行混淆。

实施了几种技术来检测调试器的存在并阻碍动态分析。例如，勒索软件会评估是否设置了指示存在调试器的堆内存参数。这些标志是 HEAP_TAIL_CHECKING_ENABLED ( 0x20 ) 和

HEAP_VALIDATE_PARAMETERS_ENABLED ( 0x40000000 )。

LockBit 3.0 检查ForceFlags其 PEB（进程环境块）中的值以评估是否设置了 HEAP_VALIDATE_PARAMETERS_ENABLED。

勒索软件还评估0xABABABAB字节签名是否存在于它先前分配的堆内存块的末尾。此字节签名的存在意味着 HEAP_TAIL_CHECKING_ENABLED 已设置。

LockBit 3.0 勒索软件通过蹦床执行NtSetInformationThread函数，使得函数参数ThreadHandle和ThreadInformationClass函数参数的值分别为0xFFFFFFFE和0x11 ( ThreadHideFromDebugger)。这会阻止事件从当前勒索软件的线程流向附加的调试器，从而有效地对调试器隐藏线程并阻碍动态分析。

此外，LockBit 会扰乱该DbgUiRemoteBreakin功能的实现，以禁用尝试附加到勒索软件进程的调试器。当它执行时，LockBit 3.0 勒索软件：

• 解析 的地址DbgUiRemoteBreakin。

• 通过蹦床执行ZwProtectVirtualMemory函数以将

  PAGE_EXECUTE_READWRITE (0x40) 保护应用于执行所在的内存区域的前 32 个字节DbgUiRemoteBreakin。这使得字节可写。

• 通过蹦床执行SystemFunction040( RtlEncryptMemory ) 函数，以加密勒索软件之前可写的字节。这会扰乱DbgUiRemoteBreakin函数的实现，并禁止调试器附加到勒索软件进程。

  
  

下图描述了DbgUiRemoteBreakinLockBit 3.0 勒索软件修改函数实现之前（标签 1）和之后（标签 2）的函数实现。

LockBit 已迅速成为那里最多产的勒索软件即服务运营商之一，在Conti 在俄罗斯入侵乌克兰后发生严重后果后接替了Conti。

LockBit 的开发人员已经证明，他们能够快速响应他们提供的产品中的问题，并且他们拥有不断发展的技术知识。最近声称提供“漏洞赏金”的说法，无论其真正优点是什么，都显示出对他们自己的受众以及围绕当前犯罪软件和企业违规浪潮的媒体格局的精明理解。

在没有执法部门干预的情况下，我们预计 LockBit 在可预见的未来会出现，并进一步迭代无疑是非常成功的 RaaS 操作。与所有勒索软件一样，预防胜于治疗，鼓励防御者确保他们拥有全面的勒索软件保护。SentinelLabs 将在开发过程中继续提供有关 LockBit 活动的更新和报告。

妥协指标

SHA256
f9b9d45339db9164a3861bf61758b7f41e6bcfb5bc93404e296e2918e52ccc10
a56b41a6023f828cccaaef470874571d169fdb8f683a75edd430fbd31a2c3f6e
d61af007f6c792b8fb6c677143b7d0e2533394e28c50737588e40da475c040ee

SHA1
ced1c9fabfe7e187dd809e77c9ca28ea2e165fa8
371353e9564c58ae4722a03205ac84ab34383d8c
c2a321b6078acfab582a195c3eaf3fe05e095ce0

.ONION domains
lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead[.]onion
lockbitapt2yfbt7lchxejug47kmqvqqxvvjpqkmevv4l3azl3gy6pyd[.]onion
lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd[.]onion
lockbitapt5x4zkjbcqmz6frdhecqqgadevyiwqxukksspnlidyvd7qd[.]onion
lockbitapt6vx57t3eeqjofwgcglmutr3a35nygvokja5uuccip4ykyd[.]onion
lockbitapt72iw55njgnqpymggskg5yp75ry7rirtdg4m7i42artsbqd[.]onion
lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid[.]onion
lockbitaptbdiajqtplcrigzgdjprwugkkut63nbvy2d5r4w2agyekqd[.]onion
lockbitaptc2iq4atewz2ise62q63wfktyrl4qtwuk5qax262kgtzjqd[.]onion
lockbit7z2jwcskxpbokpemdxmltipntwlkmidcll2qirbu7ykg46eyd[.]onion
lockbitsupa7e3b4pkn4mgkgojrl5iqgx24clbzc4xm7i6jeetsia3qd[.]onion
lockbitsupdwon76nzykzblcplixwts4n4zoecugz2bxabtapqvmzqqd[.]onion
lockbitsupn2h6be2cnqpvncyhj4rgmnwn44633hnzzmtxdvjoqlp7yd[.]onion
lockbitsupo7vv5vcl3jxpsdviopwvasljqcstym6efhh6oze7c6xjad[.]onion
lockbitsupq3g62dni2f36snrdb4n5qzqvovbtkt5xffw3draxk6gwqd[.]onion
lockbitsupqfyacidr6upt6nhhyipujvaablubuevxj6xy3frthvr3yd[.]onion
lockbitsupt7nr3fa6e7xyb73lk6bw6rcneqhoyblniiabj4uwvzapqd[.]onion
lockbitsupuhswh4izvoucoxsbnotkmgq6durg7kficg6u33zfvq3oyd[.]onion
lockbitsupxcjntihbmat4rrh7ktowips2qzywh6zer5r3xafhviyhqd[.]onion

MITRE ATT&CK
T1547.001 – 启动或登录自动启动执行：注册表运行键/启动文件夹
T1543.003 – 创建或修改系统进程：Windows 服务
T1055 – 进程注入
T1070.001 – 主机上的指示器移除：清除 Windows 事件日志
T1622 – 调试器逃避
T1548.002 – 滥用提升控制机制：绕过用户帐户控制
T1485 – 数据销毁
T1489 – 服务停止
T1490 – 禁止系统恢复
T1003.001 – 操作系统凭证转储：LSASS 内存
T1078.002 – 有效帐户：域帐户
T1078.001– 有效帐户：默认帐户
T1406.002 – 模糊文件或信息：软件包
T1218.003 – 系统二进制代理执行：CMSTP
T1047 – Windows Management Instrumentation
T1119 – 自动收集

原文始发于微信公众号（网络研究院）：LockBit 3.0 更新 | 揭开勒索软件最新的反分析和规避技术