LockBit勒索软件样本分析及针对定向勒索的防御思考

1、概述

近期发生了某金融机构遭到勒索攻击的事件[1]。多方信息表示，该事件与LockBit勒索攻击组织存在密切关联。安天CERT用“存在密切关联”进行定性的原因是，LockBit是一个基于“勒索软件即服务”（RaaS）模式运营的攻击组织，其构建支撑勒索攻击的基础设施，包括研发发布勒索攻击恶意代码载荷、提供定制构造器、构建统一的勒索攻击提示、构建虚拟货币的支付通道，使各种攻击组织、个人均能依托其“服务”进行攻击作业，提供RaaS的组织和实施攻击者之间通过敲诈勒索或贩卖窃取数据获得的赃款进行分账。由于在“勒索即服务模式”中，“基础设施”提供方和实施攻击者通常不是同一组织和个体，甚至相互间是背靠背的，其支付是以比特币等加密数字货币来运行的，给事件全面溯源分析带来巨大的困难。

LockBit被评为2022年全球最活跃的勒索攻击组织，其面向Windows、Linux、macOS、以及VMware虚拟化平台等多种主机系统和目标平台研发勒索软件，其生成器通过简单交互即可完成勒索软件定制。LockBit勒索软件仅对被加密文件头部的前4K数据进行加密，因此加密速度明显快于全文件加密的其他勒索软件，由于在原文件对应扇区覆盖写入，受害者无法通过数据恢复的方式来还原未加密前的明文数据。该组织最早被发现于2019年9月，因其加密后的文件名后缀为.abcd，而被称为ABCD勒索软件；该组织在2021年6月发布了勒索软件2.0版本，增加了删除磁盘卷影和日志文件的功能，同时发布专属数据窃取工具StealBit，采用“威胁曝光（出售）企业数据+加密数据”双重勒索策略；2021年8月，该组织的攻击基础设施频谱增加了对DDoS攻击的支持；2022年6月勒索软件更新至3.0版本，由于3.0版本的部分代码与BlackMatter勒索软件代码重叠，因此LockBit 3.0又被称为LockBit Black。这反应出不同勒索攻击组织间可能存在的人员流动、能力交换等情况。使用LockBit RaaS实施攻击的相关组织进行了大量攻击作业，通过第三方获取访问凭证、漏洞武器化和搭载其他恶意软件等方式入侵至受害者系统后投放勒索软件，大量受害者遭受勒索与数据泄露，使LockBit成为目前最活跃的勒索攻击组织，甚至主动采取了传播和PR活动。

2、近年典型攻击事件

使用LockBit勒索组织RaaS服务的攻击者，主要通过第三方获取访问凭证、漏洞武器化和搭载其他恶意软件等方式实现对受害系统的初始访问，窃取数据文件后投放LockBit勒索软件实现加密。该组织附属成员较多，在其Tor网站几乎每天都有新增来自世界各地的受害者信息，自采用“威胁曝光企业数据+加密数据勒索”双重勒索策略以来，其Tor网站上共计发布2200余条受害企业信息，2023年截至目前已发布900余条受害企业信息，如附属成员和受害企业通过“私下谈判”的方式，则不会在Tor公开受害企业信息，也意味着实际受害企业数量会超过其公开发布过的受害企业数量。

表 2‑1 遭遇LockBit勒索攻击的典型事件清单

3、攻击组织和对应攻击情况概览

表 3‑1 LockBit攻击组织基本情况

4、历史关联攻击活动的典型技战术行为图谱

依托LockBit RaaS基础设施开展勒索攻击的组织人员较多，作业风格又有不同差异，众多事件没有披露更多细节。对整个攻击生命周期的攻击入口、突防方式、横向移动、关键资产窃取路径等分析难以展开，我们通过目前掌握的线索对相关攻击常见战术和技术形成清单，并基于ATT&CK框架进行标注。

图 4‑1 LockBit相关勒索攻击的常见战术行为图谱

对应清单如下：

表 4‑1 LockBit相关勒索攻击的常见战术行为列表

5、LockBit3.0forWindows版本样本分析

由于RaaS支撑的勒索攻击是多个不同组织采用统一的攻击基础设施，依托各攻击组织本身的攻击能力和掌握的入口资源，使用同一套基础代码版本迭代和免杀加工的载荷进行攻击。因此RaaS+定向勒索分析是一个多要素综合分析，特别是要针对攻击基础设施、攻击战术和攻击样本分别展开分析。LockBit有针对多个常见系统平台载荷，我们本篇先发布对其For Windows 版本的历史分析，后续再发布其他样本的分析。

表 5‑1样本标签

注：可在计算机病毒分类命名百科全书Virusview.net，搜索“LockBit”查看更多改病毒家族相关信息。

LockBit 3.0勒索软件执行后会释放.ico文件和.bmp文件于%PROGRAMDATA%路径下，用作后续被加密文件的图标和修改的桌面壁纸。

图 5‑1附加扩展名

勒索软件释放勒索信包含Tor地址，用于赎金沟通。

图 5‑2勒索信

修改的桌面背景如下图所示：

图 5‑3 修改桌面背景

LockBit 3.0的代码段进行了加密，在执行后会根据传入的“-pass”命令行参数解密执行，没有密码则无法执行，用该手段避免核心功能被分析。

图 5‑4解密代码段

通过NtSetThreadInformation函数将线程信息设置为ThreadHideFromDebugger，以干扰研究人员分析。

图 5‑5干扰分析代码片段

检测系统语言，如果为特定语言则退出程序，不再执行。

图 5‑6检查语言

具体检查的语言列表如下，通过其规避的系统，可见LockBit组织本身具有较强的东欧背景特点。

表 5‑2检查的语言列表

创建多个线程进行加密，并将线程设置为隐藏。

图 5‑7创建文件加密线程

6、定向勒索攻击对关基安全挑战和应对思考

从定向勒索攻击造成后果损失来看，我们必须改变对安全风险与价值的认知范式。由于定向勒索攻击已经形成了窃取数据、瘫痪系统和业务、贩卖数据和曝光数据的组合作业。其最大化风险不只是系统和业务瘫痪无法恢复，而同时面临被攻击企业的用户信息、关键数据、文档、资料、代码等核心资产被倒卖，被公开的风险，从而带来更大的连锁反应。从国内外长期的领域现实来看，较大比例政企机构改善自身的安全动力，并不来自于提升防护水平的能动性，包括很多企事业单位认为最可能发生的安全风险，不是遭遇攻击，而是因达不到合规标准，会遭到处罚。因此，构成了一套投入——合规——免责的低限建设运行逻辑。而定向勒索所带来的后果，让IT决策者必须判断极限风险，并通过极限风险损失来判断网络安全的工作价值，如何避免业务长时间中断、数据彻底无法恢复、被窃取的数据资产被竞争对手购买，或因曝光严重贬值等极限情况，都是从IT决策者到每一个机构必须应对的风险。客观的敌情想定是做好网络安全防御工作的前提。而基于底线思维的后果推演，也同样是想定的一部分。从预算投入方面，我们通常将网络安全在信息化的占比作为一个度量衡，这使网络安全长期处在从属、配套和被压制状态。网络安全风险后果是否才应该是安全投入的第一度量衡，也需要我们来思考。

从定向勒索攻击的作业方式来看，我们必须认识到其在加密毁瘫行为触发前，是类似APT攻击的高度定制化的作业过程。攻击者或是专业的攻击团队，有坚定的攻击意志、较高的攻击能力、充分的可利用漏洞资源、并能掌握大量可利用的脆弱性情报和攻击入口资源，有的可能直接就是内部的攻击者。这才是依托RaaS的定向勒索攻击行动，面对有较强IT运营能力和防护投入的大型机构仍能屡屡得手的原因。无论在勒索防护中扮演最后一道防线的主机系统防护，还是作为最后应对手段的备份恢复，都只是一个单点环节，都在应对高水平定向攻击中扮演在本身能力范围内检测阻断攻击、降低攻击成功率、提高攻击成本、降低风险损失的局部作用，但都无法以单点来对抗体系性的攻击。

我们必须严肃的指出：将定向勒索攻击简单的等同于早期非定向扩散或广泛投放的勒索病毒的威胁，将勒索应对简单看成是加密毁瘫VS备份恢复的单点对抗，是极为落后、片面的安全认知。如果没有一套完整的防护体系和运营机制，而是认为依靠数据备份恢复来应对勒索攻击。就如同只出场一名守门员，来对抗对方的一支球队。

从定向勒索攻击的杀伤链特点来看，我们要坚信防范定向勒索攻击有系统化的方法和落地抓手。针对体系性的攻击，必须坚持关口前移，向前部署，构成纵深，闭环运营。提升攻击者火力侦察和进展到外围地带的发现能力，拦截于前。降低攻击方进入到核心地带的可能性。提升网络和资产可管理性是工作的基础：主动塑造和加固安全环境、强化暴露面和可攻击面管理的约束和管理、强化对供应链上游入口的管控、启动全面的日志审计分析和监测运行。构建从拓扑到系统侧的防御纵深，针对攻击者探测、投放、漏洞利用、代码运行、持久化、横向移动等行为展开层层设防，特别要建设好主机系统侧防护作为最后一道防线和防御基石，构建围绕执行体识别管控的细粒度治理能力，最终通过防护体系以达成感知、干扰、阻断和呈现定向攻击方杀伤链的实战运行效果。

附录一：安天为助力主管机构、客户和公众应对勒索攻击所作的部分工作

安天一直致力于提升客户有效防护能力，并和客户共同提升对安全的理解和认知。

安天长期持续跟踪勒索攻击的演进变化，持续发布威胁研判报告，在2006年6月14日截获分析了国内最早的勒索软件redplus（Trojan.Win32.Pluder.a），之后又发布《揭开勒索软件的真面目》（2015年）[2]、《安天针对勒索蠕虫“魔窟”（WannaCry）的深度分析报告》[3]、《勒索软件Sodinokibi运营组织的关联分析》[4]和《关于美燃油管道商遭勒索攻击事件样本与跟进分析》[5]等重要报告，特别是在WannaCry（魔窟）勒索蠕虫大规模爆发事件前五个月，做出了勒索攻击将带动蠕虫回潮的预判[6]。在WannaCry勒索蠕虫的响应中，安天一方面快速跟进分析，同时为用户提供防护手册[7]和开机指南[8]并提供了免疫工具、专杀工具、内存密钥获取和恢复工具等。在“必加”(PETYA)伪装成勒索的毁瘫攻击中，也第一时间做出了其可能不是一起勒索攻击事件的准确判断。安天CERT持续跟踪各勒索软件家族和RaaS攻击组织，针对LockBit[9]、GandCrab[10]和Sodinokibi等流行勒索软件家族发布了样本分析报告及防护建议，特别是基于垂直响应平台推出了《从八个方面认识勒索攻击和危害》专题系列文章[11][12][13][14][15][16]，助力政企客户和公众了解勒索攻击，提升防范意识。2021年，为加强勒索病毒攻击防范应对，在工业和信息化部网络安全管理局指导下，中国信通院联合安天等单位编制发布了《勒索病毒安全防护手册》[17]，手册对如何防范勒索攻击提出了详细的清单化的建议。

安天基于自主研发的AVL SDK反病毒引擎支撑自身产品和引擎生态合作伙伴的恶意代码检测能力，对包括勒索病毒在内的各类恶意代码工具进行精准检测和清除。安天智甲终端防御系统、睿甲云防护系统基于安天执行体治理的基本理念，协助客户塑造可信安全主机环境。安天智甲端侧构建了由系统加固、主机防火墙（HIPS）、扫描过滤、执行管控、行为防护、重点数据保护的组合安全机制，针对勒索攻击构成多个防护层次，特别重点数据保护机制，基于对批量文件读写的拦截，在其他安全机制均被绕过失效的情况下，尝试实现行为拦截和止损。当然，我们从来不相信网络安全存在银弹。我们致力于我们的引擎和每个产品都能在其作战位置最大化发挥价值，接受实战对抗的检验。相关内容，可以参考《安天产品助力用户有效防护勒索攻击》[18]进行了解。

附录二：参考资料

[1]  Ransomware attack on China’s biggest bank may have hit US Treasury market [R/OL].(2023-11-10), https://www.cnn.com/2023/11/10/investing/icbc-ransomware-attack-hnk-intl/index.html.安天.揭开勒索软件的真面目[R/OL].(2015-08-03),https://www.antiy.com/response/ransomware.html.

[2]  安天.安天针对勒索蠕虫“魔窟”（WannaCry）的深度分析报告[R/OL].(2017-05-13),https://www.antiy.com/response/wannacry.html.

[3]  安天.勒索软件Sodinokibi运营组织的关联分析[R/OL].(2019-06-28),https://www.antiy.com/response/20190628.html.

[4]  安天.关于美燃油管道商遭勒索攻击事件样本与跟进分析[R/OL].(2021-05-11),https://www.antiy.com/response/20210511.html.

[5]  安天.2016年网络安全威胁的回顾与展望[R/OL].(2017-01-06),https://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html.

[6]  安天.安天应对勒索软件“WannaCry”防护手册[R/OL].(2017-05-13),https://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html.

[7]  安天.安天应对魔窟勒索软件“WannaCry”周一开机指南[R/OL].(2017-05-14),https://www.antiy.com/response/Antiy_Wannacry_Guide.html.

[8]  安天.安天智甲有效防护LockBit2.0勒索软件[R/OL].(2021-09-20),https://www.antiy.cn/observe_download/observe_296.pdf.

[9]  安天.GANDCRAB勒索软件着眼“达世币”，安天智甲有效防护[R/OL].(2018-02-28),https://www.antiy.com/response/20180228.html.

[10]安天.勒索攻击的四种分工角色[R/OL].(2021-11-23),https://mp.weixin.qq.com/s/oMneQmmYQF5B4nWVulJl1g.

[11]安天.勒索攻击的两种典型模式[R/OL].(2021-11-23),https://mp.weixin.qq.com/s/nrbVpjA2-jfTzjojbyFpJA.

[12]安天. “勒索攻击杀伤链”分析[R/OL].(2021-11-24),https://mp.weixin.qq.com/s/24bIz-e4_Ts-Th0ecCWfgQ.

[13]安天.勒索攻击的四种勒索类型与五种攻击特征[R/OL].(2021-11-25),https://mp.weixin.qq.com/s/RL4E9v4wvazgj2UNdbMypA.

[14]安天.十类典型勒索家族[R/OL].(2021-11-26),https://mp.weixin.qq.com/s/Jmz58xQBcytCIWx51yxBTQ.

[15]    安天.勒索攻击发展趋势[R/OL].(2021-11-26),https://mp.weixin.qq.com/s/1wehEDr7dTo-wdJYzfoS-A.

[16]    中国信通院.勒索病毒安全防护手册[R/OL].(2021-09), http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/P020210908503958931090.pdf.

[17]    安天.安天产品助力用户有效防护勒索攻击[R/OL].(2021-11-01), https://mp.weixin.qq.com/s/nOfhqWiw6Xd7-mvMt2zfXQ.