江民赤豹反病毒:發(fā)現(xiàn)并阻止新型LockBit勒索病毒
2023-11-18?來源:安全資訊
01.LockBit 發(fā)展歷程 LockBit 是自2019年以來全球更新最快最穩(wěn)定的勒索病毒,用于針對(duì)企業(yè)和其他組織進(jìn)行高度針對(duì)性的攻擊,自動(dòng)篩查有價(jià)值的目標(biāo)、傳播感染并加密網(wǎng)絡(luò)上所有可訪問的
01.LockBit 發(fā)展歷程
LockBit 是自2019年以來全球更新最快最穩(wěn)定的勒索病毒,用于針對(duì)企業(yè)和其他組織進(jìn)行高度針對(duì)性的攻擊,自動(dòng)篩查有價(jià)值的目標(biāo)、傳播感染并加密網(wǎng)絡(luò)上所有可訪問的計(jì)算機(jī)系統(tǒng)。該勒索病毒已經(jīng)成為全球最活躍的勒索病毒之一。
LockBit 勒索病毒首次于 2019 年 9 月被發(fā)現(xiàn),因其加密后的文件名后綴為.abcd,而被稱為ABCD勒索病毒。
在2021年6月發(fā)布了勒索軟件LockBit2.0版本,增加了刪除磁盤卷影和日志文件的功能,同時(shí)發(fā)布專用竊密木馬StealBit,對(duì)受害者進(jìn)行雙重勒索策略
2022 年 6 月更新了勒索軟件LockBit3.0版本,由于LockBit3.0版本的一些代碼與BlackMatter勒索軟件代碼重疊,因此LockBit 3.0又被稱為L(zhǎng)ockBit Black。
02.LockBit 最新攻擊事件
11月8日,工銀金融服務(wù)有限責(zé)任公司(工銀金融)官網(wǎng)發(fā)布聲明稱,遭LockBit勒索軟件攻擊,導(dǎo)致部分系統(tǒng)中斷。工銀金融成立于2010年7月12日,是中國(guó)工商銀行在美全資子公司。
最近幾日,X社交媒體(原Twitter)上流出了黑客組織在某安全研究平臺(tái)VXunderground上發(fā)布 LockBit 組織代表在 Tox 上公開確認(rèn)針對(duì)ICBCFS 的攻擊行為,如下圖所示:
雖然工銀金融尚未正式發(fā)布調(diào)查結(jié)果,但根據(jù)推測(cè),攻擊者利用了CitrixBleed漏洞(CVE-2023-4966)。工銀金融的Citrix服務(wù)器最后一次上線是在周一,攻擊發(fā)生以后離線,工銀金融可能沒有對(duì)其Citrix NetScaler Gateway網(wǎng)關(guān)設(shè)備中的漏洞進(jìn)行修補(bǔ)。Citrix廠商最近發(fā)布了該漏洞的補(bǔ)丁。這是一個(gè)嚴(yán)重高危漏洞,因?yàn)楹诳徒M織可以輕易利用它繞過身份驗(yàn)證,入侵企業(yè)系統(tǒng)。這個(gè)漏洞最近在針對(duì)未打補(bǔ)丁的政府和企業(yè)網(wǎng)絡(luò)的攻擊中被多次利用。目前Citrix廠商已發(fā)布新的升級(jí)漏洞補(bǔ)丁。
03.江民發(fā)現(xiàn)并阻止LockBit新型勒索病毒案例
某金融技術(shù)股份公司專注于開發(fā)創(chuàng)新性的軟件解決方案,是一家在行業(yè)領(lǐng)先的企業(yè)。然而該公司不幸成為了勒索組織攻擊的目標(biāo)之一。該黑客組織采用惡意宏文件、郵件文件作為攻擊入口點(diǎn),文件標(biāo)題為最近熱門話題,誘導(dǎo)用戶點(diǎn)擊惡意文件。赤豹終端安全軟件在新型勒索軟件造成大規(guī)模破壞之前,展現(xiàn)了優(yōu)秀的檢測(cè)能力,成功發(fā)現(xiàn)并阻止了LockBit新型勒索軟件在其內(nèi)網(wǎng)服務(wù)器上的執(zhí)行,為用戶的核心資產(chǎn)安全提供了堅(jiān)實(shí)的保障。
04.LockBit攻擊樣本分析
該新型勒索組織在新的“3.0 版”泄漏網(wǎng)站上發(fā)現(xiàn)了許多受害者,這些網(wǎng)站是一系列公開博客,命名不合規(guī)的受害者并泄露提取的數(shù)據(jù)。
LockBit 3 勒索軟件泄露網(wǎng)站
該樣本文件運(yùn)行以后會(huì)出現(xiàn)以下勒索提示信息:
以上圖所示就是勒索信
以上圖所示就是勒索以后桌面壁紙
1、該樣本文件具有反調(diào)試功能,通過使用未導(dǎo)出函數(shù)實(shí)現(xiàn)了兩種反調(diào)試手段: 第一種通過設(shè)置線程狀態(tài)來實(shí)現(xiàn)對(duì)調(diào)試器隱藏。
第二種則通過對(duì)關(guān)鍵API打補(bǔ)丁來繞過調(diào)試器。
2、在對(duì)樣本調(diào)試分析當(dāng)中,發(fā)現(xiàn)Lockbit3.0需要一個(gè)pass參數(shù)來解密其主程序,否則逆向進(jìn)程就會(huì)崩潰自解密區(qū)段,對(duì).text、.data、.pdata三個(gè)區(qū)段進(jìn)行解密操作。
3、該樣本中文件目錄排除列表是操作系統(tǒng)運(yùn)行所需的常用系統(tǒng)目錄:
4、然后樣本在C:\ ProgramData下生成lockbit的圖標(biāo)文件用于將感染文件圖標(biāo)進(jìn)行替換,主要是通過關(guān)聯(lián)注冊(cè)表的方式實(shí)現(xiàn)。
5、RSA公鑰的前八個(gè)字節(jié)+隨即生成的八字節(jié)作為個(gè)人ID。
6 對(duì)于系統(tǒng)上的文件,需要進(jìn)行三步判斷來進(jìn)行加密:(1)判斷當(dāng)前文件是否為目錄;(2)判斷是否為白名單文件夾;(3)判斷文件大小是否為0、擴(kuò)展名是否在白名單中;當(dāng)三個(gè)條件都滿足才會(huì)進(jìn)行加密。
該樣本中毒以后的截圖如下:
05.赤豹反病毒實(shí)驗(yàn)室給出的對(duì)抗防御措施
1、安裝江民反病毒產(chǎn)品并將病毒庫升級(jí)為最新版本,并定期進(jìn)行全盤掃描。
2、在使用移動(dòng)介質(zhì)前,應(yīng)對(duì)移動(dòng)介質(zhì)內(nèi)文件進(jìn)行掃描確認(rèn)不攜帶病毒文件。
3、不打開陌生電子郵件,防止魚叉式釣魚式攻擊。
4、及時(shí)更新操作系統(tǒng)及應(yīng)用軟件補(bǔ)丁,防止漏洞利用攻擊。
5、為本機(jī)管理員賬號(hào)設(shè)置較為復(fù)雜的密碼,預(yù)防病毒通過密碼猜測(cè)進(jìn)行傳播,最好是數(shù)字與字母組合的密碼。
6、不要從不可靠的渠道下載軟件,因?yàn)檫@些軟件很可能是帶有病毒的。
7、定期進(jìn)行目標(biāo)機(jī)器的異常檢查,包括是否出現(xiàn)新增賬戶、Guest是否被啟用、系統(tǒng)日志是否存在異常、殺毒軟件是否存在異常攔截等。
