Lockbit 勒索家族的发展

本次勒索病毒活动共发现两个样本，文件名为 LBB.malz 为 32 位的勒索程序，该勒索程序的分析可以完全参考如下链接：https://mp.weixin.qq.com/s/zT1GbqXFkj0FHiUhNlisZg，整体代码及功能逻辑几乎一致。文件名为 LBG64.malz 为 64 位的勒索程序，该程序为 Lockbit3.0 新增的成员 LockbitGreen。本文分析以 LBG64.malz 为主。

LBG64.malz 执行后，被加密后的文件默认添加后缀名 “.fb7c204e”，勒索信文件名为 “!!!-Restore-My-Files-!!!.txt”，内容如下图所示。每个受害者有唯一的个人 ID,受害者可以借助 Tor 浏览器或正常的浏览器通过链接与攻击者取得联系，勒索信中并未提及赎金金额，并且建议受害者不要试图联系网络保险及数据恢复组织并阐述原因。

!!!-Restore-My-Files-!!!.txt 勒索信内容

加密后文件系统情况

ATT&CK

功能分析

参数启动

该样本可以无参数启动，也可以以可选参数的形式启动，可供选择的参数如下所示，GetCommandLineW 和 CommandLineToArgvW 函数来获取运行恶意软件时使用的命令行字符串。这两个函数的输出将用于检查执行恶意软件时是否使用了额外的参数：

网络通信

它首先扫描同一网络子网并尝试使用 SMB 端口 445 连接到其他设备，并感染同一网段其他设备

下图显示了 Process Monitor 捕获了该勒索软件尝试使用 TCP 连接到从 192.168.83.1 到 192.168.83.254 的 IP 地址

防御规避

1、 动态解密 API

解密出 API 该勒索软件使用动态 API 加载和 hash 来隐藏库和 API 名称，这些库和 API 名称用于隐藏静态分析和传统的基于签名的恶意软件扫描程序的功能。混淆了其所有 API 调用和库名称，并在运行时动态解析它们。这种混淆技术确保 Conti 仍然可以访问其所有 API，而无需将它们直接写入导入表，这将使它们对可能的逆向工程师完全隐藏。

它会动态解析模块名称并加载它们以供执行。该勒索软件解析模块名称，包括netapi32.dll、apphelp.dll、kernelbase.dll、msvcp_win.dll、win32u.dll、gdi32full.dll、ucrtbase.dll、msvcrt.dll、rpcrt4.dll、kernel32.dll、user32.dll、imm32.dll、ws2_32.dll、gdi32.dll、ntdll.dll

该勒索软件会创建 ”hsfjuukjzloqu28oajh727190” 的互斥体，以确保只有一个勒索软件实例正在受害者的机器上运行，多个实例同时运行的话，会干扰并减慢加密过程。值得注意的是，Putin和Conti勒索软件的部分样本也会创建 ”hsfjuukjzloqu28oajh727190” 互斥锁。

发现

1、文件和目录发现

调用 GetLogicalDriveStringsW，获取驱动器信息

从 C:\-Z:\ 枚举磁盘驱动器

2、枚举进程

调用 CreateToolhelp32Snapshot 为系统中所有的进程和线程拍摄一个快照

调用 Process32FirstW 获得句柄和指定的进程信息，搜索目录下的文件 / 目录

调用 Process32NextW 根据句柄循环查找其他进程的信息，并搜索其文件目录

影响

1、阻止系统恢复

删除卷影，避免受害者通过卷影恢复系统

2、数据加密

避免加密的文件或扩展

避免加密的目录

生成被加密扩展 ”.fb7c204eb”。加密操作完成后，将 .fb7c204e 扩展名附加到被加密的每个文件名后

该样本采用 AES-256 和 ChaCha20 算法相结合的加密方式，根据文件的大小和类型提供三种不同的加密模式，加密模式分别为 0x24、0x25、0x26

1、事前防御：通过暴力破解检测、远程登录认证、漏洞扫描修复、实时防护等策略为终端进行日常加固，降低勒索入侵风险；

2、事中响应：文件加白二次认证、勒索诱饵防护、AI 人工智能引擎检测等对勒索威胁文件进行高效检出，勒索病毒难以落地，无法加密；

3、事后溯源：高级威胁可视化还原入侵攻击链，排查企业内网存在风险点，全网威胁狩猎潜伏攻击，扫清内网威胁。

【深信服云网端安全托管方案】依托于安全托管中心，深信服云网端安全托管方案”见招拆招”，针对勒索病毒复杂的入侵步骤打造了全生命周期防护，构建勒索风险有效预防、持续监测、高效处置的勒索病毒防御体系。

【扫描二维码免费申请EDR、云网端安全托管试用】