深入剖析LockBit – 第一部分

背景与动机

我们处理的许多事件响应案例都与勒索软件事件相关，其中LockBit是一个经常出现的组织。尽管从技术上讲，他们并不是最先进的，因为他们通常依赖众所周知的工具，并且没有0day漏洞的访问权限，但他们无疑是成功的犯罪企业。作为防御者，目睹组织被锁定和数据外泄的后果往往令人沮丧。当我们无法解密数据并阻止威胁行为者泄露数据时，尤其令人痛苦。

本文旨在解释我们如何在初始尝试中阻止数据外泄，如何与执法部门在Cronos行动中合作，并最终通过提出一种方法来帮助组织在为时已晚之前识别和阻止勒索软件攻击。勒索软件攻击是可以预防的。这一断言基于我们广泛客户群的事实证据，我们仍然希望这一趋势将持续下去。

CTI倡议与发现

作为我们不断扩大的CTI（威胁情报）倡议的一部分，我们决心在客户监控范围之外主动识别目标，以免为时已晚。我们更进一步，深入挖掘并寻找LockBit附属机构犯下的错误。幸运的是，我们的努力取得了回报，产生了有价值的发现。这些发现已及时与执法机构共享，作为我们合作打击LockBit倡议的一部分。

请注意，有许多附属机构与LockBit相关，提供的信息可能不适用于所有附属机构。所有附属机构都以独立的方式运作。我们认为这是一种游击式结构，这导致了对这些组织进行持久影响的困难。如果LockBit加密器和数据外泄方法不再有效，附属机构可能 simply transition to another ransomware-as-a-service and persist in their operations.

换句话说，防御者无法完全根除威胁行为者；相反，我们只能通过增加他们的开支或秘密地导致他们的行动失败来降低网络犯罪行业的盈利能力。无论采取何种打击措施，这些行为者都会继续进行勒索活动，每天花费9小时 targeting businesses. 他们每次受到攻击都会学习，并在打击后适应。为了不帮助犯罪分子，一些技术细节已被省略，但如果您需要更多信息以构建坚实的防御，请随时与我们联系。

发现总结

我们积累了大量的数据。这给分析带来了挑战，并且仍然在 present a challenge for analysis. 我们的目标是从这些网络犯罪集团的内部运营中提供高水平的可操作建议。

关于威胁行为者的一些有趣事实：他们的服务器监控入侵的能力很差，但他们对每个服务器都有良好的随机唯一密码策略。他们在无密码认证等技术方面落后。他们在启用自动防病毒更新方面做得很好，但似乎他们的补丁过程失败了。至少我们未能找到任何讨论此主题的文档。如果他们是一家基于EMEA或美国的公司，他们将 highly susceptible to cyberattacks.

在技能方面，我们的发现表明有大量的渗透测试101指南，这表明该附属机构的大多数操作员缺乏高级的网络攻击知识，而是遵循基本的剧本。

图1 – 他们手册的翻译

在下一章中，我们提供了从防御者角度可以采取的建议。如果您是Kudelski Security的客户，并希望直接互动讨论某些点，请随时联系您的联系人，我们的检测团队可以提供有关为保护您的组织所采取行动的见解。

大多数基于发现的建议仍然属于网络安全卫生的范畴，但我们认为这对防御者来说仍然是有趣且有价值的情报，并可能导致一些项目的优先排序。

目标选择

方法

毫不奇怪，他们使用互联网网络扫描搜索引擎，如Shodan、Censys和Zoomeye。他们搜索具有漏洞的设备或软件，然后对这些进行大规模利用。有趣的是，他们按区域执行这些搜索。美国似乎是他们的首选目标。我们找到了Cisco、Fortinet和其他网络设备的文件。然后他们使用公开可用的漏洞利用。暴力破解和密码泄露仍然存在。

可以采取的措施

• 减少数字足迹暴露：利用互联网扫描器识别您部署的设备和软件中的潜在漏洞。许多软件选项提供隐藏或更改横幅的功能，这可以显著降低被大规模利用活动 targeting 的风险。默认横幅 often divulge excessive information. 例如，Apache httpd typically discloses its version, operating system, enabled modules, and more by default, which is often unnecessary and only helps malicious actors. 此措施不会保护您免受利用，但可能足以避免在威胁行为者寻找大规模利用特定软件版本时，您的主机被网络扫描器列出。

• 账户验证与暴力破解：此外，我们发现了威胁行为者用于验证被盗凭据或会话的工具和脚本，以及执行暴力攻击的工具。考虑实施地理封锁措施；并非所有管理接口或资产都需要从全球每个角落访问。在防止暴力攻击方面，确保实施强大的认证机制。在检查初始入侵威胁行为者日志后，很明显弱密码仍然是一个普遍的漏洞。操作日志 frequently revealed instances where weak passwords were a contributing factor. 虽然这似乎是常识，但许多组织仍然犯这个错误。此外，本地账户，如防火墙或VPN上的账户， often overlooked. 一个有趣的观察是，当威胁行为者创建账户时， frequently use of the password “Numlock!123”. 作为主动措施，考虑将此密码列入黑名单，并对任何尝试使用它创建账户的行为触发警报。

• 扫描器排除：您可以选择阻止IP扫描器范围。虽然Shodan和Censys公开提供此类信息，但像Zoomeye和不太知名的平台可能在这方面提供有限或没有数据。然而，某些防火墙设备确实提供扫描器检测和阻止功能，我们强烈主张使用。增加扫描您基础设施的难度可以显著减慢攻击执行速度。我们建议调查您的防火墙设备上与此功能相关的规则或设置。在实施锁定规则和基于UDP流量的阻止时要小心，因为这些措施可能容易受到欺骗。这不会保护您，但会使您的基础设施发现更加困难。

• 关键资产密切监控：VPN设备不应将其管理员接口暴露给互联网。此外，它们通常为更新建立最少的出站连接，并且根据设置，它们不应使用本地账户启动VPN会话。意外重启应标记为可疑活动。为与预期行为的偏差设置警报至关重要，因为它们可能 signal attempted or successful exploitation. 威胁检测 often involves identifying anomalies unique to each organization’s setup. 虽然此过程耗时且可能需要微调，但它应应用于高价值目标。部署一个虚拟VPN服务仅用于监控用户账户尝试和流量也可能有价值，因为这些设备可以作为受损凭据或扫描器检测的早期预警系统，使组织能够在早期阶段检测攻击。假VPN设置甚至可以提供对假环境的访问，以收集有关攻击者下一步行动的额外情报。从蓝队的角度来看， prematurely blocking an attack without allowing the threat actor to fully reveal their intentions and techniques is regrettable. 然而，此类措施应在非生产、严格控制的环境中实施。从分析的数据来看，当初始访问是从暴露的基础设施完成时，VPN是初始访问点。这是预期的，但强调组织应承认，如果他们有一个VPN，这将成为利用和有效账户使用的目标。因此，应特别关注在不同级别检测与组织基线偏差的内容。基线可以基于：

  • 本地账户使用
  • VPN客户端访问的资源/协议（AD、RDP、 SSH）
  • 从VPN设备发出的出站连接
  • 客户端VPN国家

HR账户使用名为kali的Linux机器连接。

…发挥创意，找到您环境中不期望的事情。检测威胁不仅仅是寻找恶意软件，而是标记在您上下文中不期望的事情。“正常”对每个组织来说意味着完全不同的东西，这应该被利用到您的优势。

在恶意软件主题上，这将在后面讨论，但威胁行为者使用的大多数技术都使用合法凭据和商业合法工具。

• 即时补丁：确保订阅您 perimeter 上所有产品或设备的公告。您必须有关键漏洞的即时补丁策略，减少应用补丁的延迟，除非操作影响的安全漏洞成本更高。知道安全漏洞 likely at a certain stage cause an operational impact.

现在怎么办？

网络犯罪分子必须在整个操作中不引起怀疑，以逃避防御者的检测。我们的分析显示，犯罪分子 consistently document the security products used by their targets and process methods to neutralize some of them. 那些有红队练习经验的人可以证明：获得访问权限可能很简单，但秘密执行行动 presents a far greater challenge. 成功地在不熟悉的IT环境中进行完整操作而不被检测， equipped with effective detection mechanisms is a .. can be very challenging.

事实上，防御者无法实现完美的零妥协，必须假设违规，但他们可以在某些点 thwart cybercriminal operations. 作为防御者，我们是战场的架构师， strategically positioning our tools and traps. 当有效执行时，这 places threat actors in a strong disadvantage situation.

在第一部分中，我们探讨了 primarily reducing the likelihood of becoming a target for criminals 的策略，以及收集攻击阶段早期指标的想法。

在后续部分中，我们将深入探讨攻击的后期阶段，并检查防御者可以做什么。敬请期待更多见解。