11月10日,LockBit勒索软件团伙在其网站上公布了从波音公司窃取的数据,大部分数据都是各个系统的备份,其中最新的数据的时间戳为10月22日。
LockBit 数据泄露网站上的波音页面
▍波音公司的哪些数据被泄露?
泄露的数据样本似乎包括数千兆字节的被盗数据,从培训材料到公司技术供应商列表。
据称,这些数据包括波音在欧洲和北美的供应商和分销商的名称、位置和电话号码。
供应商的信息显示了他们在公司结构内提供的支持,包括机身制造、结构力学、计算机和电子设备等。这些数据还包含了客户及其供应商信息。
泄露数据的样本
泄露的材料还包括该公司 2018 年的战略文件,详细介绍了波音公司对 2027 年之前飞行员需求的预测,以及2018 年的市场研究数据,包括数百家不同的供应商和承包商。
该公司的财务详细信息包括销售、回扣、不良质量成本 (COPQ) 报告、净成本定价以及 2020 年标价数据。
其他详细信息包括名为“危险废物”、“旋翼机”和“商业案例”的文件夹中的信息,以及波音内部培训材料的文件,详细说明了如何连接到特定系统以及谁有权访问它们。
泄露数据的样本
▍LockBit[.]BLACK(V3.0)分析
LockBit 团伙臭名昭著的勒索软件变种 LockBit 3.0(也称为 LockBit Black)是LOCKBIT Windows 勒索软件系列第三个版本,被认为是之前所有变种中最难以规避的版本。以前的版本包括 LOCKBIT 和 LOCKBIT.V2.0。
-
LOCKBIT[.]BLACK(V3.0)是一个用 C 语言编写的 Windows 勒索软件系列,能够加密本地文件和共享网络驱动器;它可以使用组策略对象来传播。 -
加密文件被重命名以包含生成的文件扩展名,并且勒索信息被写入包含加密文件的目录中。 -
LOCKBIT[.]BLACK(V3.0)可能会篡改 Windows Defender 设置和 Windows 事件日志,关闭防火墙、启用所有网络共享、禁用选定的服务以及创建任务来终止进程列表。 -
LOCKBIT[.]BLACK(V3.0)与 BLACKMATTER 共享大量代码,包括反分析、反调试和应用程序中的重叠编程接口 (API) 混淆代码等。
塞讯验证还观察到LOCKBIT[.]BLACK(V3.0)和最近的 BLACKMATTER 样本两者之间存在大量代码重叠。
LOCKBIT[.]BLACK 文件特征
▶ 持久化机制
如果恶意软件使用参数“–safe”执行,它将创建以下注册表项:
值:<sample_exe> -pass <passkey>
▶ 基于主机的指标
创建以下文件,其中“HLJkNskOq”表示恶意软件生成的字符串:
描述:恶意软件的副本。
注册表特征
创建以下注册表项:
值:%CSIDL_COMMON_APPDATA%\HLJkNskOq[.]ico
变化特征
Mutex:Global\2cae82bd1366f4e0fdc7a9a7c12e2a6b
▶ 基于网络的指标
反分析
LOCKBIT[.]BLACK(V3.0)使用多种技术来阻止分析。该恶意软件需要密码才能解密其部分并执行。它还利用基于哈希的导入以混淆其功能;它的字符串使用哈希算法进行编码,并使用 APLib 库进行压缩。
此外,该恶意软件还使用各种反调试技术,包括:
-
使用 NtSetInformationThread API 从调试器中隐藏进程的线程 -
使用反调试器指令,例如“cpuid”和“rdtsc” - 损坏 DbgUiRemoteBreakin API 的前 32 个字节,以防止调试器附加到恶意软件的进程
▶ 初始化和权限提升
启动时,恶意软件会检查是否提供了任何命令行参数。本报告分析的样本需要通过 -pass 命令行参数输入密码“db66023ab2abcb9957fb01ed50cdfa6a”,以使用以下变种解密其 .text、.data 和 .pdata 部分RC4算法。
该恶意软件利用多种技术来提升其权限,包括以下内容:
-
尝试使用 CMSTPLUA COM 接口执行已知的 UAC 绕过技术,以生成其自身的提升进程并终止如果当前进程不是以管理员身份运行,或者操作系统版本是 Windows 7 或更早版本。 -
为其自身启用多种权限,包括关机、管理卷、模拟用户和文件内容修改权限。 -
通过检查当前用户的 SID 来检查当前用户帐户是否为本地系统帐户。如果是本地系统帐户,此样本将设置默认桌面的自主访问控制列表 (DACL),允许每个用户进行访问。如果当前用户帐户不是本地系统帐户,该示例将尝试复制 explorer[.]exe 的令牌。如果样本没有复制到explorer[.]exe 合格的令牌,并且如果进程令牌具有管理员权限,它会尝试通过 WTSQueryUserToken API 登录用户的访问令牌来检索并复制主进程令牌。 - 尝试使用用户名“administrator”和密码“start”登录域控制器。
▶ 命令行参数
当仅提供 -pass 参数时,该样本使用 ChaCha 256 位算法加密所有本地驱动器和共享网络资源。该恶意软件能够获取命令行参数来启用以下功能:
-path
当提供 -path 参数时,恶意软件会加密给定路径中的文件。如果指定了服务器路径,恶意软件将枚举以下服务器的所有网络共享服务器并对服务器上的文件进行加密。该路径还可以是以“Volume{<Volume_GUID>}”格式指定的驱动器。
-safe
Global\2cae82bd1366f4e0fdc7a9a7c12e2a6b
接下来,如果恶意软件配置为这样做,它会提取嵌入的 PE 文件作为 %CSIDL_COMMON_APPDATA%\<temp>.tmp 并执行它以删除本身。
然后,恶意软件会检查系统是否是域控制器。如果是这样,恶意软件会在加密文件之前执行以下操作:
-
向 C&C 发送信标(如果配置为这样做) -
在域控制器上生成恶意软件进程 -
删除与安全相关的驱动程序服务:
Sppsvc
WinDefend
WSVC
-
使用 WMI 查询删除卷影副本 -
终止包含预定义的任何关键字的服务和进程 -
清除 Windows 事件查看器和事件记录器服务中的事件日志并禁用系统日志记录
如果系统已经在安全模式下运行,恶意软件会通过设置以下注册表项然后重新启动来强制样本在安全模式下运行系统。
值:<sample_exe> -pass db66023ab2abcb9957fb01ed50cdfa6a
-
删除安全驱动程序服务。 -
设置自动登录的以下注册表值:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\DefaultPassword=<password>
值:1
-
通过执行下列命令设置墙纸(图1)和设置系统在安全模式时的启动项:
bootcfg /raw /a /safeboot:network /id 1
-
HKCU\Control Panel\Desktop\WallPaper
- HKCU\Control Panel\WallpaperStyle
值:10
打印勒索信的实体副本。
当提供 -psex 参数时,恶意软件会尝试连接到 Active Directory 中所有系统的 ADMIN 共享以删除恶意软件位于 Temp目录下的< generated_filename >.exe的副本。
当提供 -del 参数时,如果恶意软件正在域控制器上执行,则恶意软件会将自身复制到 %CSIDL_COMMON_APPDATA%\<temp>.tmp,执行,然后删除该文件。
根据提供的其他参数, -gdel 标志可以禁用横向移动 (-psex ) 或禁用组策略更新 (-gspd )。
当提供 -gspd 参数时,恶意软件会检查它是否在域管理员上下文中的域控制器上运行。如果是这样,则恶意软件可能会尝试更新网络内所有系统的组策略。一旦实施,GPO 就会允许恶意软件传播到其他系统,关闭 Windows Defender 和防火墙,启用所有网络共享,禁用选定的服务,并创建任务来终止进程列表。
▶ 加密
值:%CSIDL_COMMON_APPDATA%\HLJkNskOq[.]ico
恶意软件不会加密那些默认被它例外的文件、文件夹或具有扩展名的文件。而不在列外列表中的文件则使用 ChaCha 256 位多线程算法进行加密。
LOCKBIT BLACK BMP文件
▍观察到BLACKMATTER和LOCKBIT[.]BLACK (V3.0)之间的重叠之处
LOCKBIT[.]BLACK(V3.0)(MD5:38745539b71cf201 bb502437f891d799)和BLACKMATTER(MD5:479 dcc649c66303e6561fc0d445bf884)之间的比较样本表现出高度的代码重叠。
BLACK MATTER文件特征
基于此分析,我们怀疑 LOCKBIT[.]BLACK(V3.0)是 BLACKMATTER 的更新变种,其中 LOCKBIT[.]BLACK (V3.0)通常具有扩展能力对比。在分析过程中,观察到 LOCKBIT[.]BLACK(V3.0)和 BLACKMATTER 之间存在以下相似之处:
-
常见的反调试技术。 -
使用相同XOR密钥的类似混淆技术。 -
两个样本都使用IOCompletion端口进行多线程处理。 -
两个样本都使用相同的使用加密指针的导入解析方法。 -
两个样本都使用相同的字符串哈希函数。 -
两个样本都具有非常相似的权限升级代码,包括相同的UAC绕过技术。 -
两个样本使用相同的命令来启用安全模式并重新启动系统。 -
对于 -path 命令行参数,LOCKBIT[.]BLACK(V3.0)和BLACKMATTER具有相同的代码。 -
对于 -wall 命令行参数,LOCKBIT[.]BLACK(V3.0)和BLACKMATTER都会创建 .bmp 文件以设置为壁纸。 -
LOCKBIT[.]BLACK(V3.0)和BLACKMATTER中的多线程枚举和文件加密的代码结构几乎相同,尽管有是所使用的算法的差异。
-
与 BLACKMATTER 不同,LOCKBIT[.]BLACK(V3.0)恶意软件采用解密其部分所需的 -pass 参数。 -
破坏 DbgUiRemoteBreakin API 字节以防止调试器附加到样本进程的技术仅存在于LOCKBIT[.] BLACK(V3.0)。 -
使用不同的函数来生成加密文件的扩展名。 -
只有 LOCKBIT[.]BLACK(V3.0)尝试登录域控制器。 -
LOCKBIT[.]BLACK(V3.0)接受额外的命令行参数。 -
对于 -safe 命令行参数,LOCKBIT[.]BLACK(V3.0)比BLACKMATTER具有更多功能,例如删除服务和卷影副本,发送网络信标、终止进程等。 -
LOCKBIT[.]BLACK(V3.0)具有使用连接的打印机打印赎金纸质副本的功能。 -
LOCKBIT[.]BLACK(V3.0)具有创建和设置组策略的模式,可使其感染Active Directory中的其他系统。 -
LOCKBIT[.]BLACK(V3.0)使用命名管道在进程之间进行通信。此功能在 BLACKMATTER中未见。 -
LOCKBIT[.]BLACK(V3.0)可以清除日志。此功能在BLACKMATTER中未见。 -
LOCKBIT[.]BLACK(V3.0)自行创建 Windows 服务。此功能在BLACKMATTER中未见。 -
LOCKBIT[.]BLACK(V3.0)使用 ChaCha 算法进行加密,而BLACKMATTER使用 Salsa20。 -
与BLACKMATTER不同,LOCKBIT[.]BLACK(V3.0)可以将自身放入其他系统的 ADMIN 共享并加密文件。 -
与BLACKMATTER不同,LOCKBIT[.]BLACK(V3.0)在整个样本中散布着反调试技术。 -
作为导入解析例程一部分的存根具有不同的代码特征,用于解密LOCKBIT[.]BLACK中的加密指针,而不是BLACKMATTER中的单一模式。 -
BLACKMATTER使用vssadmin[.]exe删除卷影副本,而LOCKBIT[.]BLACK使用WMI 查询。
~~~ LockBit 3.0 the world’s fastest and most stable ransomware from 2019~~~
>>>>> Your data is stolen and encrypted.
If you don’t pay the ransom, the data will be published on our TOR darknet sites. Keep in mind that once your data appears on our leak site, it could be bought by your competitors at any second, so don’t hesitate for a long time. The sooner you pay the ransom, the sooner your company will be safe.
勒索信样例
▍YARA规则
以下YARA规则不建议在生产系统上使用,也不建议在未经组织自身内部测试流程验证的情况下设置为阻断规则,以确保适当的性能并限制误报风险对您的生产系统无影响。该规则重点在作为搜寻LOCKBIT[.]BLACK(V3.0)样本工作的起点;但是,如果恶意软件系列发生变化,则可能需要随着时间的推移进行调整。
LOCKBIT[.]BLACK YARA签名
LockBit 是最具弹性的勒索软件即服务 (RaaS) 提供者之一,已经活跃了四年多,并在各个领域造成了数千名受害者。自 2020 年以来,该团伙仅在美国就针对多个组织发起了近 1,700 次袭击,勒索了约 9100 万美元。
实际上,LockBit的攻击范围包含亚洲、欧洲和非洲等世界各地,近期X行在美子公司也遭其攻击导致部分系统中断。今年Lockbit相当活跃,我们发现近几月披露的一些0Day漏洞(比如:Citrix ADC)也在被这个勒索团伙使用,X行本可以提前预防这起网络攻击。
塞讯验证建议企业对于此类全球性高危勒索软件团伙引起重视,提前做好防御准备工作,改变以往对勒索软件的检测与防御方式,勒索软件的攻击已APT化,应以全攻杀链的视角来审视自身的防御有效性,不能再局限于以检测若干某勒索软件样本的方式来确认自己的防御能力了。
您可以在塞讯安全度量验证平台中搜索关键词“LockBit ”以及“Citrix”获取相关攻击模拟验证动作和相关场景,从而验证您的安全防御体系是否能够有效应对勒索软件的攻击手段,并且以业界独有方式确保您在验证时的无害化。