埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

深信服千里目發表於2021-08-18

8月11日,全球IT諮詢巨頭埃森哲遭受了來自LockBit團伙的攻擊。埃森哲事件中LockBit勒索團伙聲稱竊取了埃森哲超過6TB的資料,要求埃森哲支付5000萬美元(約3.2億人民幣)作為贖金。

埃森哲是一家以服務於政府、金融、科技、能源、製造業等多個行業的IT巨頭,是全球最大的科技諮詢公司之一。在此次事件中,埃森哲表示:已透過安全控制對受影響的相關伺服器進行隔離,使用備份檔案恢復了受影響的系統,對日常運營和客戶系統沒有造成影響。

埃森哲雖然在宣告中淡化了此次事件對其業務正常運轉的影響,但造成的資料洩露也被LockBit作為籌碼,他們在延緩資料洩露的同時也表示對這些“專業”資料感興趣的機構可以聯絡他們。

那麼LockBit勒索團伙又是何方神聖?其實,除埃森哲外,近期已有多個國內外企業和單位遭到LockBit的攻擊,深信服終端安全團隊、深信服安服應急響應中心最新捕獲近期事件中的LockBit 2.0變種,深度剖析LockBit攻擊歷程。

變種歷史追溯

其實早在2019年9月LockBit就已經問世,當時安全人員參考了其加密字尾,將其稱為“ABCD病毒”。LockBit在過去兩年以中國、印度、印度尼西亞、烏克蘭、英國、法國、德國等歐洲國家的企業及政府組織作為攻擊目標;直至今年2021年6月,LockBit似乎受到其他勒索團伙行動的刺激,攻擊活動突然加劇,再次進入大眾視野:

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

而此次攻擊埃森哲的是LockBit勒索團伙於今年6月推出的新型變種:LockBit2.0,該變種與一代相比,攻擊手法仍然延續了弱口令猜解從沙箱分析結果來看,兩代lockbit功能行為非常相似,發生變化的是2.0採用了大量的混淆技巧,更難被反病毒引擎檢出:

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種 

攻擊手法

在進入內網後,LockBit利用了大量的掃描工具和暴力破解工具進行橫向滲透,以擴大加密面積,獲取更多的贖金:

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

(竊取Windows終端密碼工具Mimikatz)

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

(第三方應用密碼竊取工具,包括無線密碼、Web瀏覽器密碼、郵箱密碼等)

LockBit啟動密碼竊取的指令碼,寫入Result.txt做字典用於後續的口令暴力破解攻擊:

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

勒索軟體功能分析

分析人員檢視編譯時間,2021年7月26號,新鮮度很高:

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

前期的加密準備和LockBit1.0並無太大的區別,識別系統語言,為了自身的順利運轉結束相關的防護軟體和服務程式。

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

獲取磁碟機代號資訊以及獲取磁碟型別,會加密可移動磁碟,本地硬碟,網路共享檔案

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

建立登錄檔啟動項實現開機自啟

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

 

在C:\Windows\SysWOW64下建立圖示檔案,並將該檔案寫入“計算機\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lockbit\DefaultIcon”登錄檔供加密檔案時修改檔案使用

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

該勒索使用ECC/AES加密,完成了加密會話後,ECC的完整加密會話的公鑰會儲存在登錄檔的private與public中

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

註冊.lockbit檔案開啟方式,使用C:\windows\system32\mshta.exe啟動釋放的Lockbit-ransomware.hta檔案來提示受害者。

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

並設定桌面背景為勒索提示圖片

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

 

混淆技巧

技巧1:加密資源

病毒樣本採用了新的加密方法,加密了圖片、字串等資源

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種 

 

解密出來的LockBit新圖示

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種 

解密出來的字串,這裡是程式結束清單 

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種 

 

技巧2:載入動態連結庫

在需要使用動態連結庫函式時,LockBit 2.0會透過以下步驟載入:

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種 

在查詢Kernel32.dll地址時,使用的方法為遍歷程式PEB中的模組鏈,找到並返回Kernel32.dll基址

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

 

技巧3:動態呼叫函式

而對於需要呼叫的函式,LockBit2.0會在動態連結庫中遍歷所有的函式並匹配hash值,最後返回所需函式地址

部分呼叫次數少的函式會最佳化變成行內函數形式

如以下函式為查詢並返回wsprintf地址

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種 

以下都是轉化後的函式

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

可以看到相比於LockBit1.0,2.0的匯入表內容非常少

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種 

 

技巧4:繞過UAC驗證

病毒樣本利用Autoelevated屬性的COM元件ICMALuaUtil執行ShellExe繞過UAC驗證

透過互斥碼{3E5FC7F9-9A51-4367-9063-A120244FBEC7}找到CMSTPLUA,開啟後呼叫ICMALuaUtil

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

透過固定偏移+0x28確認是執行ShellExecuteExW

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

解決方案

日常加固

1.日常生活工作中的重要的資料檔案資料設定相應的訪問許可權,關閉不必要的檔案共享功能並且定期進行非本地備份;

2.使用高強度的主機密碼,並避免多臺裝置使用相同密碼,不要對外網直接對映3389等埠,防止暴力破解;

3.避免開啟來歷不明的郵件、連結和網址附件等,儘量不要在非官方渠道下載非正版的應用軟體,發現檔案型別與圖示不相符時應先使用安全軟體對檔案進行查殺;

4.定期檢測系統漏洞並且及時進行補丁修復。

深信服安全產品解決方案

1. 深信服安全感知、防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

2. 深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;

3.深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。


如果你想諮詢

攔截—查殺—監測—閉環處置

整個生命週期的全面勒索防護

歡迎掃碼聯絡我們諮詢使用

埃森哲遭勒索5000萬美元,深信服捕獲罪魁禍首Lockbit 2.0變種

相關文章