大家好,我是ABC_123。在上一篇文章中,我们以钻石模型的方式详细描述了LockBit的攻击者、受害者、基础设施及技术能力,同时讲解了LockBit加密勒索病毒的发展历史、运营模式,初步分析了LockBit的技战法。本期ABC_123继续给大家分析LockBit加密勒索家族的技战法,并给出一个LockBit加密勒索的杀伤链模型。
建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。
在上一篇文章中,ABC_123给大家详细描述了LockBit钻石模型4大基本要素,本期我们继续补充讲解一下与LockBit组织相关的社会-政治关系,总结主要有以下四点:
1 国际关系和政治局势。LockBit加密勒索的攻击活动涉及到跨国网络攻击,因此受国际政治关系影响显著。如果LockBit攻击者所在国家与其他国家存在紧张关系,或者该国政府正忙于战争,这些都会导致该国无暇顾及对跨国网络犯罪的追查。此外一些国家认为加密勒索对其威胁较小,与其他国家合作打击跨国加密勒索活动的意愿并不强烈。
2 政策与法规。在一些地区,社会对网络犯罪的容忍度可能更高或者网络安全意识较低,导致对网络犯罪执法不严格。在特定时期这些跨国网络犯罪活动,会被认为是对抗敌国或者组织的手段。政治不稳定、社会动荡促使某些个人将网络犯罪视为一种反抗或者表达不满的手段。这些社会因素为LockBit加密勒索组织提供了合理化的背景。一些国家和地区不具备追查跨国网络犯罪的能力,从而成了LockBit攻击的对象。
3 社会就业因素。在一些国家或地区,就业困难、经济不稳定等导致的生活困难,迫使一些技术人才参与LockBit加密勒索组织以谋生,因此社会经济不稳定推动了个人加入网络犯罪组织。
4 经济因素。加密勒索攻击者的主要目的就是赚钱,因此他们会集中目标在经济较发达的国家和地区,同时会针对盈利较高的跨国公司或者国家基础设置企业,因为他们能支付更高的赎金。
LockBit家族攻击者画像
下图是ABC_123从大量国内外关于LockBit报告中总结出来的,未完待续,大家可以仔细看看,这里不过多叙述了。
由于LockBit运营采用的是RaaS发展下线的模式,因此LockBit的攻击活动拥有大量的附属机构参与,因此LockBit勒索软件攻击在攻击策略、技术和程序(TTP)方面存在显着差异,这种差异给我们防范LockBit加密勒索病毒带来了很大的挑战。ABC_123参考国外以往的LockBit报告,绘制了以下技战法示意图,大家可以参考该图对LockBit加密勒索病毒进行防御。
接下来ABC_123分享一些从国外报告中挑选的LockBit加密勒索软件攻击案例,让大家对LockBit有一个更直观的认识,同时我对攻击案例示意图中的英文进行了翻译。
这是源于国外的一篇报告,LockBit攻击事件发生在2021年第四季度。攻击者使用了钓鱼邮件和外网漏洞获取了初始访问权限,在内网中建立了初步据点之后,使用Mimikatz提取服务器密码,然后使用Netscan工具对内网进行扫描探测,最后通过登录RDP服务添加域用户,成功部署了加密勒索软件。
这是源于国外的一篇报告,LockBit攻击事件发生在2022年第二季度。研究人员详细介绍了LockBit攻击的各个阶段,包括最初的权限获取、横向移动、持久化、权限提升以及投放加密勒索软件过程。攻击者创建了域用户并提升为域管理员权限,然后利用域管账号在内网实现加密勒索的批量投放。在搭建内网访问通道过程中,攻击者使用了Ngrok反向Sock5代理工具,在内网扫描过程中使用了Advanced IP scanner工具,在内网横向过程中使用了PsExec工具连接RDP远程登录服务。
这是源自国外的一篇报告中的LockBit3.0版本的攻击示意图。LockBit的攻击者使用WMware Horizon Server的Log4j2漏洞获取了外网的访问权限,后续使用Windows Defender命令行工具MpCmdRun.exe远程下载了CobaltStrike远控的攻击载荷,之后使用Meterpreter、PowerShellEmpire等工具进行内网横向,同时使用dll侧加载的方式绕过防护运行CobaltStrike后门。
如下图所示,同样源自于国外的一篇LockBit3.0攻击的分析报告。可以发现,攻击者流程与前面几张示意图没有太大区别,这里就不过多叙述了。
接下来ABC_123从大量LockBit官方报告中总结出一个LockBit杀伤链模型,LockBit加密勒索组织有上百个附属机构,每个攻击团队的技战法可能都不相同,因此目前只能给出一个大致的攻击模型,后续ABC_123会继续对该模型进行优化和改进。如下图所示,整个流程大致分为以下六个步骤:
在上一篇文章,我们介绍了LockBit在“初始权限获取”阶段大约有10种获取权限的方法,分别是大范围的漏洞扫描、公司内鬼员工、新出的1day漏洞、暗网出售的账号密码、IAB产业出售的权限、RDP密码凭证、VPN利用、社工钓鱼、供应链批量投放、水坑攻击等。
接下来我们重点关注一下LockBit攻击者曾经使用的漏洞。根据国外安全机构的研究报告,LockBit在最近几年常用的漏洞大约有14个CVE,这些漏洞涉及FortiOS、F5 BigIP、Windows服务器和Exchange邮件服务器等产品。其中有6个漏洞可通过公网直接远程代码执行,有6个漏洞可用于未授权访问或者权限提升,有7个漏洞允许通过Web应用程序进行网络渗透。
由上图可以看出,LockBit附属机构常用的漏洞都是平时我们安全工作中遇到的主流漏洞。包括Exchange邮件服务器ProxyShell漏洞利用链(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)、PaperCut打印管理软件漏洞(CVE-2023-27350)和最近危害很大的CitrixBleed漏洞(CVE-2023-4966)等。此外还有各种Log4j2漏洞(CVE-2021-44228)、VMware Horizon Log4j2代码执行漏洞、NetLogon权限提升漏洞(CVE-2020-1472)、RDP远程溢出漏洞(CVE-2019-0708)、SMB服务漏洞(永恒之蓝)、微软MSHTML远程代码执行漏洞(CVE-2021-40444)、NTLM协议攻击漏洞(CVE-2021-36942)等。
本地权限提升。LockBit附属公司曾在UACMe工具包中使用ucmDccwCOM方法绕过UAC、使用CMSTPLUA COM 接口绕过 UAC、使用dllhost.exe下的ICMLuaUtilCOM接口绕过UAC进行权限升级,使用SpoolFool打印机提权漏洞、Exchange的ProxyShell提权漏洞、Windows提权漏洞(CVE-2020-0787)进行提权。
在这个阶段,攻击者会使用ngrok、SystemBC、Ligolo等反向代理工具获取内网访问权限。LockBit攻击者通常会创建持久型账户,或者使用计划任务来执行后门程序。不同的LockBit附属机构所使用的远控程序不同,发现最多的是CobaltStrike,此外还有各种白名单远程控制软件,包括TeamViewer、AnyDesk、Splashtop、TightVNC、Atera RMM、ScreenConnect、ConnectWise等。
在这个阶段,LockBit攻击者会首先枚举系统信息,如主机名、进程信息、网络连接、域信息、局域网共享、本地驱动器配置及外部存储设备等,进而会使用Mimikatz获取操作系统密码,偶尔会使用MiniDump获得lsass进程的dump文件提取密码。攻击者也会使用GrabChrome、GrabRFF等工具提取Chrome浏览器密码,使用PasswordFox提取FireFox浏览器密码,使用ExtPassword或LostMyPassword从Windows系统恢复密码。
接着开始内网扫描探测。使用Netscan、Advanced Port Scanner、SoftPerfect Network Scanner、Advanced IP Scanner或Advanced Port Scanner来扫描目标主机的端口及服务指纹信息,LockBit加密勒索软件本身也具有内网自动传播功能。
在横向获取权限时,攻击者通常会使用Psexec、WMI、RDP协议、Plink命令行连接工具、wmiexec工具获取主机权限,会使用使用Adfind及ADExplorer工具进行域内信息收集,使用CrackMapExec在内网进行批量哈希传递,获取大量内网主机权限。
在这个阶段,攻击者首先会借助“vssadmin delete Shadows /all /quiet”命令删除卷影卷副本,禁用Windows启动修复功能,使用随机生成的数据替换回收站中的文件,然后将其删除,这些操作可以防止受害者进行数据恢复。然后使用wevtutil 、批处理脚本、 CCleaner等工具删除Windows事件日志或其它系统日志。
早期的LockBit攻击者会通过7-zip等压缩或者加密收集到的敏感数据,然后通过RClone工具将数据传输到MegaSync、MegaSync、FreeFileSync等文件云存储站点中,其中MEGASync用的更多一些。后期数据窃取主要由LockBit加密勒索组织专门编写的StealBit后门工具完成,该后门在上一篇文章中有详细介绍,这里不过多叙述。
数据窃取完毕之后,开始进入“加密勒索与赎金协商”阶段。该病毒会通过TLS 1.2加密流量与C2端进行通信,尝试停止Windows Defender,监视并终止SQL进程。病毒会查找连接的驱动器并尝试对文件进行加密,然后在网络上分发加密勒索病毒。病毒会探测局域网内主机135、445端口是否开放,并尝试对其共享资源文件进行加密。同时攻击者会尝试获取域控服务器权限、集权系统权限,然后批量部署加密勒索软件。
文件加密结束后,文件名会被更改为.lockbit等扩展后缀,同时还会留下名为Restore-My-Files.txt的勒索信。该勒索信包含了支付赎金说明、获取解密秘钥说明、如何安装Tor浏览器、暗网博客地址以及受害者与攻击者进行通信所需的个人ID。随后LockBit病毒会修改桌面壁纸显示勒索信息,操控网络打印机打印勒索字条,发布勒索信息,一直打印到纸张用完为止。
后续,LockBit3.0的攻击者还会通过洋葱头路由网络(Tor)与受害者进行赎金协商,如果双方对于赎金没办法达成一致,被盗数据将会被公布在LockBit的暗网博客上。
1 企业事件响应计划(IRP)。启动企业内部的事件响应计划(IRP),组织事件响应人员(IRR)进行处理。及时报告网络管理员,通知其他可能会受到勒索软件影响的人员,避免造成更大的影响。
2 隔离网络。一般安全技术人员做的第一步就是断开感染计算机与互联网的连接,并且删除所有连接的设备,对受感染的计算机进行隔离。如果同一子网下多台设备中招,可切断整个子网对外连接。物理隔离的手段包括:关闭设备、设备断电、拔出网线、禁用网卡、禁用无线网卡、移除移动网卡等。
3 中断加密勒索。对于重要数据的服务器,可以在勒索病毒还在加密的过程中终止进程或者关机,及时止损。这里需要注意的是,重新启动或关闭系统可能会影响数据恢复过程,对于部分加密勒索软件,重启系统意味着处于内存中的密钥被清空掉。
4 识别勒索软件。通过加密勒索软件的加密勒索信或者IOC(包括DNS请求域名、软件Hash、C2地址、异常流量等),确定加密勒索软件的版本信息,借助信息去找公开的解密密钥。此外安全团队还要评估这些IOC的真实性,防止出现假旗情况。此外这些IOC也可以作为立案证据,可以联系相关人员进行取证。
5 更新安全设备规则。结合收集到的IOC等信息,更新安全防护设备的黑名单,及时阻止加密勒索软件与C2服务器的网络连接,防止加密勒索病毒进一步扩散,使用最新的病毒库进行全网杀毒。
6 排查植入途径并修复漏洞。首先需要清除加密勒索病毒,删除漏洞利用工具,排查勒索软件植入途径。修复外网漏洞,尽快对网络内机器进行漏洞扫描和安全加固。忽视事故原因,盲目重置系统,会带来更严重安全隐患。所有机器的口令均应更换,因为攻击者有可能掌握了多数机器的账号密码,留作下次攻击使用。
7 告警系统。搜索历史日志以检测网络环境中是否存在任何潜在存在,建立告警系统。分析日志内网数据是否有被外泄的证据,评估加密勒索造成的损失。
8 联系当局进行处理。收集加密勒索软件攻击的信息,包括各种IOC信息、加密勒索信截图、与攻击者的赎金沟通记录等,这对于数字取证非常重要,安全专家可以依靠这些信息对黑客组织进行追踪。
9 恢复数据。如果企业对相应的数据进行了备份,可以对备份数据进行恢复,这是解决加密勒索软件最有效的办法。一些加密勒索团队金盆洗手前,或者被警方抓到之后,秘钥列表会被公布到网上,可以尝试找到秘钥进行解密。如果目前没有公开的解密工具,可以适当留存加密文件,以备将来加密秘钥被公开的时候进行解密。此外,还可以尝试联系加密勒索数据恢复团队进行数据恢复,在一些极端情况下,LockBit旧版本存在bug,可以不支付赎金解密部分数据。
1. 未完待续,后续会重点讲解一个大型的LockBit加密勒索攻击事件,并详细描述LockBit加密勒索病毒的防御办法,敬请期待下一篇文章。
公众号专注于网络安全技术分享,包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com
(replace # with @)