埃森哲遭勒索5000萬美元，深信服捕獲罪魁禍首Lockbit 2.0變種

8月11日，全球IT諮詢巨頭埃森哲遭受了來自LockBit團伙的攻擊。埃森哲事件中LockBit勒索團伙聲稱竊取了埃森哲超過6TB的資料，要求埃森哲支付5000萬美元（約3.2億人民幣）作為贖金。

埃森哲是一家以服務於政府、金融、科技、能源、製造業等多個行業的IT巨頭，是全球最大的科技諮詢公司之一。在此次事件中，埃森哲表示：已透過安全控制對受影響的相關伺服器進行隔離，使用備份檔案恢復了受影響的系統，對日常運營和客戶系統沒有造成影響。

埃森哲雖然在宣告中淡化了此次事件對其業務正常運轉的影響，但造成的資料洩露也被LockBit作為籌碼，他們在延緩資料洩露的同時也表示對這些“專業”資料感興趣的機構可以聯絡他們。

那麼LockBit勒索團伙又是何方神聖？其實，除埃森哲外，近期已有多個國內外企業和單位遭到LockBit的攻擊，深信服終端安全團隊、深信服安服應急響應中心最新捕獲近期事件中的LockBit 2.0變種，深度剖析LockBit攻擊歷程。

變種歷史追溯

其實早在2019年9月LockBit就已經問世，當時安全人員參考了其加密字尾，將其稱為“ABCD病毒”。LockBit在過去兩年以中國、印度、印度尼西亞、烏克蘭、英國、法國、德國等歐洲國家的企業及政府組織作為攻擊目標；直至今年2021年6月，LockBit似乎受到其他勒索團伙行動的刺激，攻擊活動突然加劇，再次進入大眾視野：

而此次攻擊埃森哲的是LockBit勒索團伙於今年6月推出的新型變種：LockBit2.0，該變種與一代相比，攻擊手法仍然延續了弱口令猜解；從沙箱分析結果來看，兩代lockbit功能行為非常相似，發生變化的是2.0採用了大量的混淆技巧，更難被反病毒引擎檢出：

攻擊手法

在進入內網後，LockBit利用了大量的掃描工具和暴力破解工具進行橫向滲透，以擴大加密面積，獲取更多的贖金：

（竊取Windows終端密碼工具Mimikatz）

（第三方應用密碼竊取工具，包括無線密碼、Web瀏覽器密碼、郵箱密碼等）

LockBit啟動密碼竊取的指令碼，寫入Result.txt做字典用於後續的口令暴力破解攻擊：

勒索軟體功能分析

分析人員檢視編譯時間，2021年7月26號，新鮮度很高：

前期的加密準備和LockBit1.0並無太大的區別，識別系統語言，為了自身的順利運轉結束相關的防護軟體和服務程式。

獲取磁碟機代號資訊以及獲取磁碟型別，會加密可移動磁碟，本地硬碟，網路共享檔案

建立登錄檔啟動項實現開機自啟

在C:\Windows\SysWOW64下建立圖示檔案，並將該檔案寫入“計算機\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lockbit\DefaultIcon”登錄檔供加密檔案時修改檔案使用

該勒索使用ECC/AES加密，完成了加密會話後，ECC的完整加密會話的公鑰會儲存在登錄檔的private與public中

註冊.lockbit檔案開啟方式，使用C:\windows\system32\mshta.exe啟動釋放的Lockbit-ransomware.hta檔案來提示受害者。

並設定桌面背景為勒索提示圖片

混淆技巧

技巧1：加密資源

病毒樣本採用了新的加密方法，加密了圖片、字串等資源

解密出來的LockBit新圖示

解密出來的字串，這裡是程式結束清單 

技巧2：載入動態連結庫

在需要使用動態連結庫函式時，LockBit 2.0會透過以下步驟載入：

在查詢Kernel32.dll地址時，使用的方法為遍歷程式PEB中的模組鏈，找到並返回Kernel32.dll基址

技巧3：動態呼叫函式

而對於需要呼叫的函式，LockBit2.0會在動態連結庫中遍歷所有的函式並匹配hash值，最後返回所需函式地址

部分呼叫次數少的函式會最佳化變成行內函數形式

如以下函式為查詢並返回wsprintf地址

以下都是轉化後的函式

可以看到相比於LockBit1.0，2.0的匯入表內容非常少

技巧4：繞過UAC驗證

病毒樣本利用Autoelevated屬性的COM元件ICMALuaUtil執行ShellExe繞過UAC驗證

透過互斥碼{3E5FC7F9-9A51-4367-9063-A120244FBEC7}找到CMSTPLUA，開啟後呼叫ICMALuaUtil

透過固定偏移+0x28確認是執行ShellExecuteExW

解決方案

日常加固

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權，關閉不必要的檔案共享功能並且定期進行非本地備份；

2.使用高強度的主機密碼，並避免多臺裝置使用相同密碼，不要對外網直接對映3389等埠，防止暴力破解；

3.避免開啟來歷不明的郵件、連結和網址附件等，儘量不要在非官方渠道下載非正版的應用軟體，發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺；

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案

1. 深信服安全感知、防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

2. 深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

3.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

如果你想諮詢

攔截—查殺—監測—閉環處置

整個生命週期的全面勒索防護

歡迎掃碼聯絡我們諮詢使用