波音、X行遭受LockBit3.0勒索软件攻击,透过分析折射防守应该有的变化
字数 2571 2025-08-10 08:28:07

LockBit 3.0勒索软件分析与防御指南

1. LockBit 3.0概述

LockBit 3.0(又称LockBit Black)是LockBit勒索软件家族的第三个版本,被认为是该系列中最难以规避的变种。该勒索软件用C语言编写,主要针对Windows系统,具有高度模块化和可配置性。

1.1 主要特征

  • 能够加密本地文件和共享网络驱动器
  • 可以使用组策略对象(GPO)进行传播
  • 会篡改Windows Defender设置和事件日志
  • 可关闭防火墙、启用网络共享、禁用服务
  • 创建任务来终止特定进程列表
  • 与BlackMatter勒索软件有大量代码重叠

2. 技术分析

2.1 持久化机制

当使用--safe参数执行时,会创建以下注册表项实现持久化:

SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\<random_str>
值: <sample_exe> -pass <passkey>

2.2 基于主机的指标

文件系统特征

  • HLJkNskOq[.]README[.]txt: 勒索信
  • <filename>.HLJkNskOq: 加密文件
  • %CSIDL_COMMON_APPDATA%\HLJkNskOq[.]ico: 加密文件图标
  • %CSIDL_COMMON_APPDATA%\<temp>.tmp: 恶意软件副本

注册表特征

HKLM\Software\Microsoft\Windows\CurrentVersion\Group Policy\Status\"
DED842482D87C83B0CDBFF5A9AA514F6D09C2D4C1F4AC2A9B9202D2A2D28714E"
值: 1

HKLM\SOFTWARE\Policies\Microsoft\Windows\OOBE\"DisablePrivacyExperience"
值: 1

HKCR\HLJkNskOq\DefaultIcon
值: %CSIDL_COMMON_APPDATA%\HLJkNskOq[.]ico

Mutex

Global\2cae82bd1366f4e0fdc7a9a7c12e2a6b

2.3 反分析技术

  • 需要密码才能解密并执行部分代码
  • 使用基于哈希的导入混淆功能
  • 字符串使用哈希算法编码,并使用APLib库压缩
  • 多种反调试技术:
    • 使用NtSetInformationThread API隐藏线程
    • 使用"cpuid"和"rdtsc"等反调试指令
    • 破坏DbgUiRemoteBreakin API前32字节

2.4 权限提升

  • 使用CMSTPLUA COM接口执行UAC绕过
  • 启用多种权限:关机、管理卷、模拟用户等
  • 检查当前用户SID是否为本地系统账户
  • 尝试复制explorer.exe的令牌
  • 尝试使用用户名"administrator"和密码"start"登录域控制器

2.5 命令行参数

参数 功能
-pass 使用RC4算法解密.text、.data和.pdata部分
-path 加密指定路径中的文件
-safe 以安全模式重启系统
-wall 设置勒索壁纸
-psex 连接到AD中所有系统的ADMIN共享
-del 在域控制器上复制并执行自身
-gdel 禁用横向移动或组策略更新
-gspd 更新组策略传播恶意软件

2.6 加密机制

  • 生成随机扩展名附加到加密文件名
  • 使用ChaCha 256位多线程算法加密文件
  • 不加密特定扩展名和路径的文件
  • 修改注册表设置加密文件默认图标

3. 与BlackMatter的对比

3.1 相似之处

  • 常见的反调试技术
  • 相同的XOR密钥和混淆技术
  • 使用IOCompletion端口进行多线程处理
  • 相同的加密指针导入解析方法
  • 相同的字符串哈希函数
  • 相似的权限提升代码和UAC绕过技术
  • 相同的安全模式启用命令
  • 相似的-path和-wall参数功能
  • 几乎相同的多线程枚举和文件加密代码结构

3.2 差异点

特性 LockBit 3.0 BlackMatter
解密需求 需要-pass参数 不需要
反调试 破坏DbgUiRemoteBreakin API 无此技术
扩展名生成 不同函数 不同实现
域控制器攻击 尝试登录 无此功能
命令行参数 更多选项 较少选项
-safe功能 更丰富(删除服务、卷影副本等) 基础功能
打印功能 可打印勒索信
组策略传播 支持 不支持
进程通信 使用命名管道
日志清除 支持 不支持
服务创建 自行创建Windows服务
加密算法 ChaCha Salsa20
横向移动 支持放入ADMIN共享 不支持
反调试分布 整个样本中散布 较集中
卷影副本删除 使用WMI查询 使用vssadmin.exe

4. 防御措施

4.1 预防措施

  1. 补丁管理

    • 及时修复已知漏洞,特别是LockBit利用的漏洞(如Citrix ADC)
    • 建立漏洞情报机制,关注0day漏洞披露

  2. 权限控制

    • 实施最小权限原则
    • 限制域管理员账户的使用
    • 禁用默认管理员账户或更改其密码

  3. 组策略配置

    • 监控和限制GPO修改
    • 禁用不必要的网络共享
    • 保持Windows Defender和防火墙启用

  4. 备份策略

    • 实施3-2-1备份规则(3份副本,2种介质,1份离线)
    • 定期测试备份恢复流程
    • 保护备份免受加密

4.2 检测措施

  1. YARA规则
    开发定制YARA规则检测LockBit 3.0样本,但需注意:

    • 不在生产系统直接使用未经测试的规则
    • 定期更新规则以适应变种变化

  2. 行为监控

    • 监控异常注册表修改(特别是RunOnce键)
    • 检测大量文件加密行为
    • 警惕安全服务被禁用的事件
    • 监控异常进程创建和令牌复制

  3. 网络监控

    • 检测与已知LockBit C2的通信
    • 监控异常的大规模数据传输
    • 关注域控制器异常登录尝试

4.3 响应措施

  1. 隔离

    • 立即隔离受感染系统
    • 断开与域控制器的连接
    • 暂停网络共享

  2. 取证

    • 收集内存转储进行分析
    • 检查注册表修改记录
    • 分析进程创建日志

  3. 恢复

    • 从干净备份恢复系统
    • 重置所有域管理员凭据
    • 全面检查组策略设置

  4. 报告

    • 向相关执法机构报告事件
    • 必要时通知客户和合作伙伴
    • 进行事后分析并改进防御措施

5. 总结

LockBit 3.0是当前最复杂、最具破坏性的勒索软件之一,具有高度规避性、多种传播方式和强大的加密能力。其与BlackMatter的代码重叠表明勒索软件生态系统的复杂性和演化趋势。防御此类威胁需要多层次的安全策略,包括严格的补丁管理、完善的备份机制、细致的权限控制和持续的安全监控。组织应定期评估和测试其安全防护措施,确保能够有效应对不断演变的勒索软件威胁。

LockBit 3.0勒索软件分析与防御指南 1. LockBit 3.0概述 LockBit 3.0(又称LockBit Black)是LockBit勒索软件家族的第三个版本,被认为是该系列中最难以规避的变种。该勒索软件用C语言编写,主要针对Windows系统,具有高度模块化和可配置性。 1.1 主要特征 能够加密本地文件和共享网络驱动器 可以使用组策略对象(GPO)进行传播 会篡改Windows Defender设置和事件日志 可关闭防火墙、启用网络共享、禁用服务 创建任务来终止特定进程列表 与BlackMatter勒索软件有大量代码重叠 2. 技术分析 2.1 持久化机制 当使用 --safe 参数执行时,会创建以下注册表项实现持久化: 2.2 基于主机的指标 文件系统特征 HLJkNskOq[.]README[.]txt : 勒索信 <filename>.HLJkNskOq : 加密文件 %CSIDL_COMMON_APPDATA%\HLJkNskOq[.]ico : 加密文件图标 %CSIDL_COMMON_APPDATA%\<temp>.tmp : 恶意软件副本 注册表特征 Mutex 2.3 反分析技术 需要密码才能解密并执行部分代码 使用基于哈希的导入混淆功能 字符串使用哈希算法编码,并使用APLib库压缩 多种反调试技术: 使用NtSetInformationThread API隐藏线程 使用"cpuid"和"rdtsc"等反调试指令 破坏DbgUiRemoteBreakin API前32字节 2.4 权限提升 使用CMSTPLUA COM接口执行UAC绕过 启用多种权限:关机、管理卷、模拟用户等 检查当前用户SID是否为本地系统账户 尝试复制explorer.exe的令牌 尝试使用用户名"administrator"和密码"start"登录域控制器 2.5 命令行参数 | 参数 | 功能 | |------|------| | -pass | 使用RC4算法解密.text、.data和.pdata部分 | | -path | 加密指定路径中的文件 | | -safe | 以安全模式重启系统 | | -wall | 设置勒索壁纸 | | -psex | 连接到AD中所有系统的ADMIN共享 | | -del | 在域控制器上复制并执行自身 | | -gdel | 禁用横向移动或组策略更新 | | -gspd | 更新组策略传播恶意软件 | 2.6 加密机制 生成随机扩展名附加到加密文件名 使用ChaCha 256位多线程算法加密文件 不加密特定扩展名和路径的文件 修改注册表设置加密文件默认图标 3. 与BlackMatter的对比 3.1 相似之处 常见的反调试技术 相同的XOR密钥和混淆技术 使用IOCompletion端口进行多线程处理 相同的加密指针导入解析方法 相同的字符串哈希函数 相似的权限提升代码和UAC绕过技术 相同的安全模式启用命令 相似的-path和-wall参数功能 几乎相同的多线程枚举和文件加密代码结构 3.2 差异点 | 特性 | LockBit 3.0 | BlackMatter | |------|------------|-------------| | 解密需求 | 需要-pass参数 | 不需要 | | 反调试 | 破坏DbgUiRemoteBreakin API | 无此技术 | | 扩展名生成 | 不同函数 | 不同实现 | | 域控制器攻击 | 尝试登录 | 无此功能 | | 命令行参数 | 更多选项 | 较少选项 | | -safe功能 | 更丰富(删除服务、卷影副本等) | 基础功能 | | 打印功能 | 可打印勒索信 | 无 | | 组策略传播 | 支持 | 不支持 | | 进程通信 | 使用命名管道 | 无 | | 日志清除 | 支持 | 不支持 | | 服务创建 | 自行创建Windows服务 | 无 | | 加密算法 | ChaCha | Salsa20 | | 横向移动 | 支持放入ADMIN共享 | 不支持 | | 反调试分布 | 整个样本中散布 | 较集中 | | 卷影副本删除 | 使用WMI查询 | 使用vssadmin.exe | 4. 防御措施 4.1 预防措施 补丁管理 : 及时修复已知漏洞,特别是LockBit利用的漏洞(如Citrix ADC) 建立漏洞情报机制,关注0day漏洞披露 权限控制 : 实施最小权限原则 限制域管理员账户的使用 禁用默认管理员账户或更改其密码 组策略配置 : 监控和限制GPO修改 禁用不必要的网络共享 保持Windows Defender和防火墙启用 备份策略 : 实施3-2-1备份规则(3份副本,2种介质,1份离线) 定期测试备份恢复流程 保护备份免受加密 4.2 检测措施 YARA规则 : 开发定制YARA规则检测LockBit 3.0样本,但需注意: 不在生产系统直接使用未经测试的规则 定期更新规则以适应变种变化 行为监控 : 监控异常注册表修改(特别是RunOnce键) 检测大量文件加密行为 警惕安全服务被禁用的事件 监控异常进程创建和令牌复制 网络监控 : 检测与已知LockBit C2的通信 监控异常的大规模数据传输 关注域控制器异常登录尝试 4.3 响应措施 隔离 : 立即隔离受感染系统 断开与域控制器的连接 暂停网络共享 取证 : 收集内存转储进行分析 检查注册表修改记录 分析进程创建日志 恢复 : 从干净备份恢复系统 重置所有域管理员凭据 全面检查组策略设置 报告 : 向相关执法机构报告事件 必要时通知客户和合作伙伴 进行事后分析并改进防御措施 5. 总结 LockBit 3.0是当前最复杂、最具破坏性的勒索软件之一,具有高度规避性、多种传播方式和强大的加密能力。其与BlackMatter的代码重叠表明勒索软件生态系统的复杂性和演化趋势。防御此类威胁需要多层次的安全策略,包括严格的补丁管理、完善的备份机制、细致的权限控制和持续的安全监控。组织应定期评估和测试其安全防护措施,确保能够有效应对不断演变的勒索软件威胁。