【勒索防护】泄露的Lockbit3.0勒索软件构建器在野重启

近期，深信服深盾终端实验室在运营工作中发现，恶意软件开发者基于 2022 年 9 月泄露的 Lockbit3.0 勒索病毒构建器开发的新的加密器正在国内传播，代码的整体逻辑与泄露的 Lockbit3.0 构建器极为相似，只是在原有的基础上修改了一些细节部分，如加密完成后并未修改桌面图标及被加密文件图标、修改被加密文件扩展、勒索信文件名及内容等。

本次勒索病毒活动共发现两个样本，文件名含 pass 的需要带密码参数启动，文件名不含 pass 的样本不需带密码参数启动。如下图所示：

通过分析可知，上述两个样本除启动方式包含带密码和不带密码之分外，其余代码逻辑、功能模块均相似。样本执行后，被加密后的文件默认添加后缀名“.xNimqxKZh”，赎金提示信息文件名为“xNimqxKZh.README.txt”，内容如下。受害者可以通过邮箱与攻击者取得联系，提示信息中并未提及赎金金额。当前还未有任何交互信息。

xNimqxKZh.README.txt 赎金文件内容

被加密后的文件名

勒索样本主干技术框架

API 解析

该样本通过散列 DLL 的 API 名称，然后将其与勒索软件所需的API 列表进行比较来获取需要执行的 API。

配置信息

该样本在其 .data 部分中包含嵌入式配置数据，使用不同的线性同余发生器（LCG）算法解码其配置。

发现

1.查询受害机器的语言环境，避免加密如下语言

阿拉伯语（叙利亚）

亚美尼亚语（亚美尼亚）

阿塞拜疆语（西里尔语- 阿塞拜疆）

阿塞拜疆语（拉丁语-阿塞拜疆）

白俄罗斯语（白俄罗斯）

格鲁吉亚语（格鲁吉亚）

哈萨克语（哈萨克斯坦）

吉尔吉斯语（吉尔吉斯斯坦）

罗马尼亚语（摩尔多瓦）

俄语（摩尔多瓦）

俄语（俄罗斯）

塔吉克语（西里尔文- 塔吉克斯坦）

土库曼（土库曼斯坦）

鞑靼语（俄罗斯）

乌克兰语（乌克兰）

乌兹别克语（西里尔语- 乌兹别克斯坦）

乌兹别克语（拉丁语-乌兹别克斯坦）

2.判断操作系统版本

3.遍历驱动器

GetDriveTypeW 获取驱动器类型，从 A-Z 遍历。

通过调用 NetShareEnum 枚举网络上的主机名。

防御规避

1.禁用 Windows Defender

执行后，该样本会尝试禁用 Windows Defender 以防止其检测。

2.终止进程

终止的进程列表，终止与数据库、文本编辑、浏览器、邮箱、作图等相关的进程。

3.终止服务

终止的服务列表，终止与卷影、数据库、备份、备份、反病毒产品等相关的服务。

vss

sql

svc$

memtas

mepocs

msexchange

sophos

veeam

backup

GxVss

GxBlr

GxFWD

GxCVD

GxCIMgr

4.清空回收站

该样本创建一个专门的线程处理在回收站中找到的文件。回收站中的文件未加密；相反，每个回收站中的文件内容都被替换为 0x10000 字节块中随机生成的字节，然后将回收站中的文件删除。因此，回收站中的所有文件都无法恢复。

5.禁用 Windows 事件日志的机制

6.删除卷影

该样本调用 IWbemLocator::ConnectServer 方法以与本地ROOTCIMV2 命名空间连接，并获取指向 IWbemServices 对象的指针，该对象最终调用 IWbemService:：ExecQuery 以执行 WQL 查询，然后删除每个返回的卷影副本。通过删除卷影复制文件来破坏受感染计算机从文件加密中恢复的能力。

7.字符串混淆

该样本用作被加密文件扩展名、勒索信内容、勒索信名称的字符串均为 Base64 编码的哈希。Lockbit 3.0 选择使用嵌入在其配置中的 RSA 公钥，并使用 MD5 对其进行哈希。这对攻击者来说意味着更容易识别加密文件所需的 RSA 私钥对。

动态解密出个人解密 ID，将解密 ID 写入前面解密出的勒索信内容中固定位置

动态解密出勒索信内容

动态解密出 9 个字母数字字符组成的被加密扩展，被加密扩展是先前生成的互斥 GUID 的 MD5 哈希的前 6 个字节的 base64 编码。由于这种方法，系统上留下的所有赎金票据都被赋予相同的名称，但对于该系统来说是唯一的。

动态解密出勒索信文件名 %s.README.txt，其中 %s 的值为前面解密出的被加密文件扩展，因而勒索信文件名为 xNimqxKZh.README.txt。

持久化

该样本通过安装系统服务来实现持久性。每次执行有效负载都会安装多个服务，相关的服务名称如下所示：

提权

通过名为Elevation:Administrator!new:{3E5FC7F9-9A51-4367-9063-A120244FBEC7} 的对象运行了 CoGetObject，以管理员权限重新启动恶意软件。

其他

将勒索信发送到可访问的打印机

文件删除

它不使用 bat 文件或 cmd 命令，而是从原始的二进制文件解密并释放出一个 tmp 文件来执行文件删除操作。

释放的 .tmp 文件会覆盖原始的勒索软件二进制文件的内容，并且基于原始文件名的长度多次重命名原始二进制文件。例如，名为 lb3.exe 的文件共有 7 个字符（包括文件扩展名），将重命名为 AAAAAAA，然后重命名为 BBBBBBB，直到 ZZZZZZZ。最后将原始勒索软件删除。

该动作阻止分析人员通过数据恢复工具进行恢复勒索软件，并通过完全删除勒索软件的任何痕迹来掩盖其踪迹。

多次重命名文件

重命名后删除原始恶意文件

加密模块

该样本使用 Salsa-20 算法加密文件。在加密线程期间，大量使用RtlEncryptMemory 和 RtlDecyptMemory 保护包含私钥的内存，因而无法直接获取到私钥。

MITRE ATT&CK技术

1. 执行

· 恶意文件 (T1204.002)

2. 防御规避

· 解混淆或解码的文件或信息 (T1140)

· 反虚拟化/反沙箱(T1497)

· 服务终止(T1489)

· 禁用或修改工具 (T1562.001)

· 禁用 Windows 事件日志记录(T1562.002)

· 禁用系统防火墙(T1562.004)

3. 提权

· 绕过UAC(T1548.002)

4. 发现

· 文件目录发现(T1083)

· 系统信息发现(T1082)

· 网络共享发现(T1135)

5. 影响

· 为影响而加密的数据(T1486)

· 数据销毁(T1485)

【深信服终端安全管理系统EDR】基于勒索病毒入侵攻击链提供4层勒索入侵预防，6级勒索反加密防护，5项勒索检测与响应机制，从事前防御-事中响应-事后溯源三个方面为终端构建全面的勒索防护体系，轻松抵御勒索入侵。

深信服检测响应平台XDR】已支持检测该病毒的恶意行为，请更新软件（如有定制请先咨询售后再更新版本）和IOA规则库、IOC规则库至最新版本，设置相应的检测策略，获取全方位的高级威胁检测能力。

【深信服勒索理赔服务】深信服与专业保险机构联合推出针对勒索病毒的理赔服务，为客户快速解决勒索赎金损失，尽快恢复数据和业务，降低勒索事件对业务的影响。

【深信服下一代防火墙AF】的安全防护规则更新至最新版本，接入深信服云平台，“云鉴” 服务即可轻松抵御此高危风险。

【深信服安全感知管理平台SIP】建议用户及时更新规则库，接入云图，并联动【深信服下一代防火墙AF】实现对高危风险的入侵防护。

【深信服安全托管服务MSS】以保障用户网络安全“持续有效”为目标，通过将用户安全设备接入安全运营中心，依托于XDR安全能力平台和MSSP安全服务平台实现有效协同的“人机共智”模式，围绕资产、脆弱性、威胁、事件四个要素为用户提供7*24H的安全运营服务，快速扩展持续有效的安全运营能力，保障可承诺的风险管控效果。