关键发现
- LockBit 5.0 Windows变种使用重度混淆和打包技术,通过DLL反射加载有效载荷,同时实施反分析技术
- Linux变种具有类似功能,提供用于定位特定目录和文件类型的命令行选项
- ESXi变种专门针对VMware虚拟化基础设施,设计用于加密虚拟机
- 新变种使用随机16字符文件扩展名,具有俄语系统规避功能,并在加密后清除事件日志
- LockBit 5.0还包含专门的ESXi变种,针对VMware的ESXi虚拟化基础设施
- Windows、Linux和ESXi变种的存在证实了LockBit持续的跨平台策略
LockBit 5.0 Windows分析
Windows版本的Lockbit 5.0使用-h参数显示帮助信息;新版本具有更好的用户界面,采用清晰的格式化显示,这在以前的版本中未曾见过。
命令行参数
| 选项 | 描述 |
|---|---|
| -h | 显示帮助 |
| -d <目录> | 要加密的目录分号分隔列表 |
| -b <目录> | 要绕过的目录分号分隔列表 |
| -i | 隐形模式 |
| -p | 在控制台中运行带状态栏的详细可见模式 |
| -v | 运行带调试输出的可见模式 |
| -n <0/1/2> | 注释存储模式 |
| -m <模式> -w | 加密模式和擦除空闲空间 |
| -k | 不删除.exe文件 |
| -nomutex | 允许多个实例 |
| -t <秒> | 设置开始加密前的超时 |
执行时,勒索软件生成其特征性勒索票据,并将受害者引导至专用泄露站点。加密过程将随机16字符扩展名附加到文件中,使恢复工作复杂化。
反分析技术
样本通过打包使用重度混淆。在调试期间,我们发现它作为二进制加载器运行,在内存中解密PE二进制文件并通过DLL反射方法加载它。
恶意软件实施了多种反取证技术:
- 通过用0xC3(返回)指令覆盖来修补EtwEventWrite API
- 通过将哈希服务名称与63个值的硬编码列表进行比较来终止安全相关服务
- 使用EvtClearLog API在加密完成后清除所有事件日志
与以前的版本一致,LockBit 5.0包括地缘政治保护措施,在检测到俄语设置或俄罗斯地理位置时终止执行。
LockBit 5.0 Linux分析
5.0 Linux变种具有与其Windows对应版本类似的功能,展示了LockBit对跨平台能力的承诺。命令行界面镜像了Windows版本的格式和功能,为攻击者在这两个平台上提供相同的操作灵活性。
执行期间,Linux变种提供其活动的详细日志记录,显示要加密的文件和指定要排除的文件夹。加密完成后,勒索软件生成一个综合摘要,显示加密的文件总数及其累计大小。
LockBit 5.0 ESXi分析
进一步调查揭示了LockBit 5.0的专用ESXi变种,专门针对VMware虚拟化基础设施。此变种代表了LockBit能力的关键升级,因为ESXi服务器通常托管多个虚拟机,允许攻击者通过单个有效载荷执行加密整个虚拟化环境。
ESXi变种保持了与其Windows和Linux对应版本相同的命令行界面结构,确保攻击者在所有平台上的操作一致性。
LockBit 4.0与LockBit 5.0比较
LockBit 4.0和5.0之间的比较分析揭示了显著的代码重用和进化发展,而不是完全重写。两个版本共享相同的字符串操作哈希算法,这是API解析和服务识别的关键组件。动态API解析的代码结构在版本之间保持非常相似。
结论
Windows、Linux和ESXi变种的存在证实了LockBit持续的跨平台策略。这允许在整个企业网络中同时发起攻击,从工作站到托管数据库和虚拟化平台的关键服务器,其中ESXi变种设计用于瘫痪整个虚拟基础设施。
这些新变种中的重度混淆显著延迟了检测特征的开发,而技术改进包括移除感染标记、更快的加密和增强的规避,使LockBit 5.0比其前身明显更危险。
缓解建议
组织强烈建议通过主动进行针对特定组件的工具、战术和程序的威胁狩猎活动来评估和增强其安全态势。必须加强端点