Part1 前言
大家好,我是ABC_123
。在上一篇文章中,我们以钻石模型的方式详细描述了LockBit的攻击者、受害者、基础设施及技术能力,同时讲解了LockBit加密勒索病毒的发展历史、运营模式,初步分析了LockBit的技战法。本期ABC_123继续给大家分析LockBit加密勒索家族的技战法,并给出一个LockBit加密勒索的杀伤链模型。
建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!
因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。
Part2 技术研究过程
在上一篇文章中,ABC_123给大家详细描述了LockBit钻石模型4大基本要素,本期我们继续补充讲解一下与LockBit组织相关的
社会-政治关系
,总结主要有以下四点:
1
国际关系和政治局势
。LockBit加密勒索的攻击活动涉及到跨国网络攻击,因此受国际政治关系影响显著。如果LockBit攻击者所在国家与其他国家存在紧张关系,或者该国政府正忙于战争,这些都会导致该国无暇顾及对跨国网络犯罪的追查。此外一些国家认为加密勒索对其威胁较小,与其他国家合作打击跨国加密勒索活动的意愿并不强烈。
2
政策与法规。
在一些地区,社会对网络犯罪的容忍度可能更高或者网络安全意识较低,导致对网络犯罪执法不严格。在特定时期这些跨国网络犯罪活动,会被认为是对抗敌国或者组织的手段。政治不稳定、社会动荡促使某些个人将网络犯罪视为一种反抗或者表达不满的手段。
这些社会因素为LockBit加密勒索组织提供了合理化的背景
。一些国家和地区不具备追查跨国网络犯罪的能力,从而成了LockBit攻击的对象。
3
社会就业因素。
在一些国家或地区,就业困难、经济不稳定等导致的生活困难,迫使一些技术人才参与LockBit加密勒索组织以谋生,因此社会经济不稳定推动了个人加入网络犯罪组织。
4
经济因素。
加密勒索攻击者的主要目的就是赚钱,因此他们会集中目标在经济较发达的国家和地区,同时会针对盈利较高的跨国公司或者国家基础设置企业,因为他们能支付更高的赎金。
下图是ABC_123从大量国内外关于LockBit报告中总结出来的,未完待续,大家可以仔细看看,这里不过多叙述了。
Part3 LockBit技战法分析
由于LockBit运营采用的是RaaS发展下线的模式,因此LockBit的攻击活动拥有大量的附属机构参与,
因此LockBit勒索软件攻击在攻击策略、技术和程序(TTP)方面存在显着差异
,这种差异给我们防范LockBit加密勒索病毒带来了很大的挑战。ABC_123参考国外以往的LockBit报告,绘制了以下技战法示意图,大家可以参考该图对LockBit加密勒索病毒进行防御。
接下来
ABC_123
分享一些从国外报告中挑选的LockBit加密勒索软件攻击案例,
让大家对LockBit有一个更直观的认识,同时
我对攻击案例示意图中的英文进行了翻译。
这是源于国外的一篇报告,LockBit攻击事件发生在2021年第四季度。攻击者使用了钓鱼邮件和外网漏洞获取了初始访问权限,在内网中建立了初步据点之后,使用Mimikatz提取服务器密码,然后使用Netscan工具对内网进行扫描探测,最后通过登录RDP服务添加域用户,成功部署了加密勒索软件。
这是源于国外的一篇报告,LockBit攻击事件发生在2022年第二季度。研究人员详细介绍了LockBit攻击的各个阶段,包括最初的权限获取、横向移动、持久化、权限提升以及投放加密勒索软件过程。攻击者创建了域用户并提升为域管理员权限,
然后利用域管账号在内网实现加密勒索的批量投放
。在搭建内网访问通道过程中,攻击者使用了Ngrok反向Sock5代理工具,在内网扫描过程中使用了Advanced IP scanner工具,在内网横向过程中使用了PsExec工具连接RDP远程登录服务。
这是源自国外的一篇报告中的LockBit3.0版本的攻击示意图。LockBit的攻击者使用WMware Horizon Server的Log4j2漏洞获取了外网的访问权限,后续使用Windows Defender命令行工具MpCmdRun.exe远程下载了CobaltStrike远控的攻击载荷,之后使用Meterpreter、PowerShellEmpire等工具进行内网横向,同时使用dll侧加载的方式绕过防护运行CobaltStrike后门。
如下图所示,同样源自于国外的一篇LockBit3.0攻击的分析报告。可以发现,攻击者流程与前面几张示意图没有太大区别,这里就不过多叙述了。
Part4 LockBit加密勒索杀伤链
接下来ABC_123从大量LockBit官方报告中总结出一个LockBit杀伤链模型,LockBit加密勒索组织有上百个附属机构,每个攻击团队的技战法可能都不相同,因此目前只能给出一个大致的攻击模型,
后续ABC_123会继续对该模型进行优化和改进
。如下图所示,整个流程大致分为以下六个步骤:
1
信息收集与初始权限
在上一篇文章,我们介绍了LockBit在“初始权限获取”阶段大约有10种获取权限的方法,分别是大范围的漏洞扫描、公司内鬼员工、新出的1day漏洞、暗网出售的账号密码、IAB产业出售的权限、RDP密码凭证、VPN利用、社工钓鱼、供应链批量投放、水坑攻击等。
接下来我们重点关注一下LockBit攻击者曾经使用的漏洞
。根据国外安全机构的研究报告,LockBit在最近几年常用的漏洞大约有14个CVE,这些漏洞涉及FortiOS、F5 BigIP、Windows服务器和Exchange邮件服务器等产品。其中有6个漏洞可通过公网直接远程代码执行,有6个漏洞可用于未授权访问或者权限提升,有7个漏洞允许通过Web应用程序进行网络渗透。
由上图可以看出,LockBit附属机构常用的漏洞都是平时我们安全工作中遇到的主流漏洞
。包括Exchange邮件服务器ProxyShell漏洞利用链(CVE-2021-34473、CVE-2021-34523、CVE-2021-31207)、PaperCut打印管理软件漏洞(CVE-2023-27350)和最近危害很大的CitrixBleed漏洞(CVE-2023-4966)等。此外还有各种Log4j2漏洞(CVE-2021-44228)、VMware Horizon Log4j2代码执行漏洞、NetLogon权限提升漏洞(CVE-2020-1472)、RDP远程溢出漏洞(CVE-2019-0708)、SMB服务漏洞(永恒之蓝)、微软MSHTML远程代码执行漏洞(CVE-2021-40444)、NTLM协议攻击漏洞(CVE-2021-36942)等。
2
防护绕过与权限提升
禁用防护软件。
LockBit3.0还内置了很多规避杀软、EDR终端防护及反取证功能。此外攻击者会使用进程资源管理器、定制的脚本、组策略等方法禁用Windows Defender,使用GMER、PCHunter、PowerTool和ProcessHacker、ProcessMonitor、ProcessExplorer、TDSSKiller、DefenderControl、Backstab等软件禁用终端设备安全软件,还会通过MpCmdRun程序在Microsoft Defender Antivirus中进行各种恶意操作。
本地权限提升。
LockBit附属公司曾在UACMe工具包中使用ucmDccwCOM方法绕过UAC、
使用CMSTPLUA COM 接口绕过 UAC、
使用dllhost.exe下的ICMLuaUtilCOM接口绕过UAC进行权限升级,使用SpoolFool打印机提权漏洞、Exchange的ProxyShell提权漏洞、Windows提权漏洞(CVE-2020-0787)进行提权。
3
反向代理与权限维持
在这个阶段,攻击者
会使用ngrok、SystemBC、Ligolo等反向代理工具获取内网访问权限。
LockBit攻击者通常会创建持久型账户,或者使用计划任务来执行后门程序。不同的LockBit附属机构所使用的远控程序不同,发现最多的是CobaltStrike,此外还有各种白名单远程控制软件,包括TeamViewer、AnyDesk、Splashtop、TightVNC、Atera RMM、ScreenConnect、ConnectWise等。
4
内网横向与深度拓展
在这个阶段,LockBit攻击者会首先枚举系统信息,如主机名、进程信息、网络连接、域信息、局域网共享、本地驱动器配置及外部存储设备等,进而会使用Mimikatz获取操作系统密码,偶尔会使用MiniDump获得lsass进程的dump文件提取密码。攻击者也会使用GrabChrome、GrabRFF等工具提取Chrome浏览器密码,使用PasswordFox提取FireFox浏览器密码,使用ExtPassword或LostMyPassword从Windows系统恢复密码。
接着开始内网扫描探测。使用Netscan、Advanced Port Scanner、SoftPerfect Network Scanner、Advanced IP Scanner或Advanced Port Scanner来扫描目标主机的端口及服务指纹信息,LockBit加密勒索软件本身也具有内网自动传播功能。
在横向获取权限时,攻击者通常会使用Psexec、WMI、RDP协议、Plink命令行连接工具、wmiexec工具获取主机权限,会使用
使用Adfind及ADExplorer工具进行域内信息收集,使用
CrackMapExec在内网进行批量哈希传递,获取大量内网主机权限。
5
数据窃取与加密传输
在这个阶段,攻击者首先会借助“vssadmin delete Shadows /all /quiet”命令删除卷影卷副本,禁用Windows启动修复功能,使用随机生成的数据替换回收站中的文件,然后将其删除,这些操作可以防止受害者进行数据恢复。然后使用wevtutil 、批处理脚本、 CCleaner等工具删除Windows事件日志或其它系统日志。
早期的LockBit攻击者会通过7-zip等压缩或者加密收集到的敏感数据,然后通过RClone工具将数据传输到MegaSync、MegaSync、FreeFileSync等文件云存储站点中,其中MEGASync用的更多一些。
后期数据窃取主要由
LockBit加密勒索组织专门编写的
StealBit后门工具完成
,该后门在上一篇文章中有详细介绍,这里不过多叙述。
6
加密勒索与赎金协商
数据窃取完毕之后,开始进入“加密勒索与赎金协商”阶段。该病毒会通过TLS 1.2加密流量与C2端进行通信,尝试停止Windows Defender,监视并终止SQL进程。病毒会查找连接的驱动器并尝试对文件进行加密,然后在网络上分发加密勒索病毒。病毒会探测局域网内主机135、445端口是否开放,并尝试对其共享资源文件进行加密。同时攻击者会尝试获取域控服务器权限、集权系统权限,然后批量部署加密勒索软件。
文件加密结束后,文件名会被更改为.lockbit等扩展后缀,同时还会留下名为Restore-My-Files.txt的勒索信。该勒索信包含了支付赎金说明、获取解密秘钥说明、如何安装Tor浏览器、暗网博客地址以及受害者与攻击者进行通信所需的个人ID。随后LockBit病毒会修改桌面壁纸显示勒索信息,
操控网络打印机打印勒索字条,发布勒索信息,一直打印到纸张用完为止
。
后续,LockBit3.0的攻击者还会通过洋葱头路由网络(Tor)与受害者进行赎金协商,如果双方对于赎金没办法达成一致,被盗数据将会被公布在LockBit的暗网博客上。
Part5 加密勒索的处置
1
企业事件响应计划(IRP)。
启动企业内部的事件响应计划(IRP),
组织事件响应人员(IRR)进行处理。及时报告网络管理员,通知其他可能会受到勒索软件影响的人员,避免造成更大的影响。
2
隔离网络。
