情报赋能勒索感知 | LockBit勒索全网态势分析 - 新鲜讯息

近日，某金融机构发表声明称其遭遇LockBit勒索软件攻击，导致部分系统中断，约90亿美元业务受影响【1】。LockBit勒索家族号称加密最快的勒索软件，以其为代表的勒索病毒攻击造成的安全事件层出不穷，涉及政府、交通、能源、医疗等关乎国计民生的重要领域。

结合中国电信全网分析能力，本文拟从运营商视角，借助威胁情报，挖掘勒索家族在网络全局视角下行为的蛛丝马迹，并通过其行为感知提出各阶段安全防范建议，以提升国内相关行业反勒索安全水平和能力。

一、LockBit勒索事件洞察

LockBit勒索行为时间线

LockBit勒索病毒号称自2019年以来世界上最快最稳定的勒索病毒，目前已成为全球最活跃的勒索病毒，其团伙口号为“让勒索软件再次伟大”【2】。

LockBit勒索病毒首次攻击于2019年9月被发现，最开始被称作为ABCD勒索病毒，因为它加密后的文件后缀名为abcd。随后的版本中，它将加密后的文件后缀修改为lockbit，于是他们的名字也被更名为LockBit勒索病毒。2021年6月，该勒索病毒推出了它的更新版本LockBit2.0，并加入了磁盘卷影和日志文件删除等新功能，同时还推出了它的专用窃密木马StealBit，对受害者进行双重勒索攻击，所谓双重勒索就是既锁住受害者的文件，不给钱就不解密；又偷走重要数据，不给钱就把这些数据泄密出去。2022年6月底发布了3.0版本的勒索木马（又名LockBit Black），并向全世界的研究人员提供“漏洞赏金”计划，谁能帮忙找到这款勒索软件的Bug和漏洞，就可以来找他们领钱。

以LockBit 3.0勒索软件为例，其主要攻击时间线如图1所示。

图1 LockBit勒索流程示意

从图中我们可以看到，攻击者的完整攻击路径主要分为五个步骤：

（1）探测控制阶段：通过技术手段对受害者进行远程控制。

►漏洞探测：LockBit家族恶意软件首先会对全网资产进行批量扫描，并使用已知漏洞尝试进行命令执行，寻找漏洞利用点。

►主机远控：在执行漏洞成功后，LockBit家族会通过漏洞执行或远控软件执行对应下载LockBit勒索软件；在执行加密前，LockBit还会将受害主机的重要账号密码进行窃取并保存，以方便后续进一步控制和勒索，获取凭据软件有Mimikatz等。

（2）数据回传阶段：将受害者机密数据上传到第三方文件存放平台。

LockBit攻击者会将受害主机重要文件格式（如doc、excel、eml等）压缩后上传第三方文件存放平台，以便于后续在勒索失败时，进行双重勒索攻击，例如在公网公开被勒索者相关机密数据，甚至为了达成勒索目的，将受害主机数据发给竞对公司等。

（3）文件加密阶段：将受害者机密数据进行加密处理。

加密并勒索：勒索软件获取本机ID后，结合ID生成定制化密钥进行全盘数据文件非对称加密；在加密完成后，LockBit会更换计算机桌面来发起勒索攻击，告知受害者后续支付赎金的方式以及不支付赎金可能的后果，同时还会在桌面生成一个txt的文件来告知受害者具体支付赎金的途径等。

（4）支付赎金/拒绝支付阶段：受害者选择（拒绝）支付赎金。

选择支付赎金：受害者进入暗网网站，获取比特币或匿名币的钱包地址，根据指示完成支付

（5）恢复数据/公开数据阶段：根据受害者选择，完成数据的恢复或者公开。

►数据恢复：在受害者支付赎金后，LockBit家族会提供针对该受害者唯一的解密工具，并删除该受害者在公网的倒计时信息和相关资料，受害者完成数据恢复。

►数据公开：若受害者未完成赎金支付，勒索组织将机密资料直接发布到暗网或者公网，对于某些较大的商业公司，勒索组织还会将资料有针对性地发给竞对公司来增加威胁。

全网洞察分析

利用运营商核心数据能力，结合威胁情报，可以持续跟进勒索各个流程环节的受害资产情况，并洞察整体勒索态势。

（1）探测控制阶段：

通过持续监测远控域名链接活跃度变化，可以定位潜在受害目标情况。对LockBit3.0远控域名解析活跃度进行计算统计，统计结果如下图2所示。

图2 LockBit远控IOC连接活跃度趋势

从图中可以发现，LockBit3.0变种对应的远控IOC解析量自11月2日起发生急剧下降的情况，之后一直维持在比较低的活跃度中。推测原因可能是，LockBit组织在近期报道曝光量增多的情况下，国内各企业基于威胁情报对相关的IOC进行了封禁。

（2）数据回传阶段：

通过定位可疑上传行为，可以发现潜在的数据泄露风险。对LockBit主要使用的机密文件国外上传站点进行流量统计，发现整体流量趋势比较稳定，并跟国内的工作日时间吻合较好。从图3可以看到。周末大部分资产处于关机状态，所以文件上传量会相对降低；而工作日大部分资产处于开机状态，对应文件上传量会升高。

图3 LockBit文件站点上传流量趋势

（3）受害资产定位：

通过跟踪特定资产网络行为时间序列，关联其一系列网络行为，可以比较准确地定位受害资产。从11月1日起至撰稿日，通过统计国内连接第一阶段远控IOC，即受害资产数超过19万；其中，进行第二阶段——机密文件回传的资产数超过5万，占比 28%，统计占比图如下图4所示。

图4 国内受控资产勒索阶段分布

经过对具体受控资产进行分析和统计，我们发现大部分受控资产都是属于传统实业公司的官网资产，这部分资产往往在部署在公网上后无人维护，其相关业务也与官网关联性不大，导致最终被攻击者攻陷并勒索的可能性更高。如图5所示，我们发现行业分布比较分散，除科技行业占比稍高外，其它行业均被作为潜在勒索目标进行远控，这与APT攻击等具备明确行业倾向性目标的攻击有显著不同。

图5 失陷资产行业分布

（4）勒索组织溯源：定位勒索组织账户行为

在追踪溯源中我们发现，LockBit家族创建了非常多的比特币钱包地址，并在接收到受害者的赎金后，会快速地将赎金在多个钱包中进行转移，避免被监管或追踪。

我们目前监测到的行为有：

►一转多行为：将大额金钱钱包平均转移到多个子钱包。

►多转一行为：将多个小额子钱包共同清空并转移到一个大钱包账户中。

►多次平移行为：将固定份额比特币在多个钱包中进行清空转移。

通过多种类似转移操作，受害者支付的赎金往往在支付后很难通过执法部门的操作进行追回，最终LockBit家族可以屡屡得手。

我们追踪到LockBit家族多个比特币钱包地址，如图6所示，以其中钱包之一举例，余额显示为 47个比特币，价值将近200万美元。截至发稿日，该账户仍不断有比特币汇入和汇出。交易方式包括我们提到的一转多、多转一行为等。

图6 LockBit钱包示例

（5）全网态势感知：

结合我们收集到的LockBit3.0恶意远控类IOC，我们统计了十一月份以来国内IP与恶意IOC进行通信的情况，如图7所示，可以看到自11月份以来，广东、江苏、浙江等省份的勒索受害资产数较多。其中广东省受害资产数占到所有受害资产的19.3%。

由于各省份资产基数不同，将各省份受害资产数除以资产基数，我们可以对各省份归一化受害资产占比进行横向比较。通过分析发现，北京和浙江受害资产比重较低，而河北受害资产比重较高，显著高于其他省份。

图7 国内被勒索省份分布情况

二、勒索事件威胁识别与风险防范

为了更好地应对愈演愈烈的网络勒索态势，政府部门，各行业机构、企事业单位等组织和团体一方面需要加强自身主动防御意识，做好例行加固及攻击发生时的安全防御和风险应对工作；另一方面，安全厂商在整体态势感知和风险发现方面，应该给予企业更多的安全赋能，指导并协助完成勒索事件的防御等。

企业主动防御手段

从企业自身视角出发，应该做好“事前自检，主动防范”、“事中处置，快速响应”、“事后排查，修复漏洞”三个方面。

（1）事前自检

►做好企业内部文件分级分类管理，对于重要机密文档要及时备份、管理及加密。针对包含重要信息的内网资产，应建立隔离网，并构建可信准入措施。对于重要的信息和材料，应使用相关算法进行二次加密，保证泄露后也无法打开。

► 梳理并收敛资产暴露面，坚持“非必要不暴露”原则，避免未知资产暴露在公网上，杜绝隐患。

►对于包含重要数据库的对外提供服务资产，应建立容灾机制，在异地构建备份主机，做到资料无法恢复或服务无法重启时，可使用备份主机进行备份还原及服务重启，重要资料提高备份频率。

►部署防火墙、WAF等安全防护产品，避免外部攻击在探测和远控阶段攻陷资产，进一步导致内网资产服务被攻陷和勒索等。全网搜集勒索组织相关的攻击IP情报，并及时更新阻断，避免造成攻击损失。

（2）事中处置

►对勒索组织远控IOC进行收集并封禁，防止内部资产被漏洞利用后，被勒索组织执行进一步命令。基于远控IOC进行内网失陷检测，发现内网未定位的失陷资产，防止攻击进一步扩散。

►针对已失陷的勒索资产，要及时切断其与其他内网主机的连接，迅速定位攻击源，避免其发起内网横移，使更多资产失陷。

（3）事后排查

►企业可结合勒索威胁情报相关IOC，基于流量历史记录进行攻击溯源，查看历史流量中失陷资产相关信息，定位盘点企业内部原始失陷资产。

►针对企业内部被勒索资产，建议执行全盘格式化，避免残余病毒在资产中的持久化，彻底清除残余威胁。

►针对已失陷资产应及时定位失陷原因，修复相关漏洞，并对内部相关软件进行升级，升级补丁，及时安装端点防御软件，保证对勒索软件程序可以拦截。

安全厂商防御手段

安全厂商视角出发，应该做好“事前感知，及时预警”、“事中发现，协助定位”、“事后回溯，持续监控”。中国电信安全公司（下文简称“电信安全”）借助全网感知能力，对网络勒索进行全方位监控和预警，与企业携手共渡难关。

（1）事前感知

►针对勒索组织对全网漏洞进行扫描和利用的行为，电信安全提供千万级攻击IP情报，可在攻击发生前对源IP进行检测和匹配，一旦命中情报，可实时触发阻断和防御，防止进一步攻击和漏洞利用行为的产生。

►通过实时感知全网漏洞攻击相关行为，捕获疑似勒索家族的攻击行为并标记，目前情报库中已掌握部分勒索家族的攻击资产，可直接提供企业封禁拦截。

（2）事中发现

►针对勒索组织对受害主机远控和命令执行行为，电信安全可提供勒索家族对应的远控IOC，并结合独有全网流量对企业出口进行实时监测，一旦发现勒索远控连接行为，可及时通知客户进行阻断和定位。

►结合电信安全的威胁检测报告，实时定位内部失陷主机，针对该勒索家族还存在内网横移能力导致的一个资产失陷可同时导致内部多个资产被勒索的情况，结合全网监测和情报预警能力，可在第一时间控制勒索范围，挽回企业损失。

►针对企业内部资料被上传第三方平台行为，根据目前已掌握勒索组织常使用的文件中转站点，可结合大网监控，对国内资产与该类站点的通讯流量大小进行实时监测，一旦发现异常流量增多行为，可结合源通讯IP定位相关可疑泄露失陷资产，避免资料的进一步外泄。

►除了勒索家族基础IOC外，电信安全还掌握了勒索家族整个攻击TTPS，刻画了ATT&CK矩阵，基于家族攻击特征信息，可对勒索特性进行端侧的针对性防御。例如，LockBit家族会检测计算机语言，若计算机语言为俄语等，则不进行勒索行为，所以可以通过更改计算机语言进行防御【3】。

（3）事后回溯

►基于全网排查能力，结合电信安全掌握的勒索软件IOC筛查，可回溯任意时间监测主机的通联记录，并记录首次通联时间和末次通联时间。企业发生勒索事件行为后，可基于大网数据对内部资产首次通联事件进行溯源，定位原始失陷主机，发现内部资产在互联网的暴露面和薄弱点，从而在根本上解决因内部薄弱失陷资产导致的内网横移和更多资产损失。

►利用全网监测能力，在企业发生勒索事件后，可对攻击者多级跳板进行逐级跟踪，对勒索攻击者追踪溯源提供能力支持。

总结

综上所述，将针对勒索过程的各类主被动防御措施和响应流程进行梳理，如表1所示。各单位可基于此表做好核查工作，提升安全防御能力；电信安全也希望进一步加强对于勒索组织和行为的监控，提升全网感知和针对性防御能力。

表1 勒索各阶段防御手段

三、结论

中国电信安全公司（简称“电信安全”）威胁情报研发中心致力于各类威胁情报的建设工作，并利用全网视角进行生产泛化，形成独特的差异化优势和资源禀赋。目前，威胁情报研发中心聚焦的情报类型覆盖远控、恶意软件、钓鱼、勒索、挖矿、博彩、色情、APT等主流失陷情报，同时收录基于全网态势感知生产出海量的攻击IP情报，主体失陷情报达百万数量级，攻击信誉情报达千万级，基础数据实现T+1小时级更新。电信安全提供威胁分析报告服务，能在无任何侵入式产品部署条件下，直接输入企业资产IP，实现实时对企业内部存在的勒索病毒风险进行检测，结合威胁情报研发中心的情报能力，及时发现内部安全风险。

未来，电信安全威胁情报研发中心将持续发力威胁情报准确性及全面性的提升，拓展安全场景服务，为政企客户提供更全面、更丰富的网络安全服务。

文章参考：

【1】敲诈工行美国子公司，这家黑客到底什么来头？https://m.163.com/dy/article/IJLPGCOK0519WCJG.html

【2】全球勒索软件榜首的LockBit是什么来头？

https://zhuanlan.zhihu.com/p/589918275

【3】#StopRansomware: LockBit 3.0 | CISA

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-075a

（2023.12.12数说安全发布）