深入分析LockBit 3.0的复苏与变化

文章重点

• LockBit 3.0（也称为LockBit Black）使用的工具与合法的渗透测试工具相似。
• 观察到LockBit 3.0与BlackMatter勒索病毒之间的多种相似之处，显示两者可能存在程式码重用。
• LockBit使用了一系列技术来躲避检测，其中许多技术已被其他勒索病毒所采用。
• 针对LockBit攻击的应对措施需要注重保护管理控制台的安全性。

最近对多起事件的事后分析显示，攻击者最终使用了最新版本的LockBit勒索病毒，这版本被称为LockBit 3.0或LockBitBlack。Sophos的管理检测与响应（MDR）团队注意到，勒索病毒的附属者和合法的渗透测试者在过去三个月内使用相同的工具集。

有关LockBit的泄露资料显示，这种勒索病毒的后端控制似乎表明，创作者已开始实验使用脚本，这将允许恶意程式通过Windows组策略物件（GPO）或PSExec工具进行“自我扩散”。这可能使得恶意程式在运行时增强横向移动的能力，并感染计算机，而无需附属者知道如何利用这些功能，从而加速部署勒索病毒和加密目标所需的时间。

LockBit功能的逆向工程分析表明，该勒索病毒大多保留了LockBit2.0的功能，并采用了新的行为，使研究人员更难进行分析。例如，在某些情况下，现在需要附属者在启动勒索病毒二进制文件的命令行中输入一个32字符的“密码”，否则将无法运行，虽然我们检查的所有样本并不都需要此密码。

我们还观察到，该勒索病毒以LocalServiceNetworkRestricted权限运行，因此不需要完整的系统管理员级别访问即可造成损害（这也得到了其他研究人员对该恶意程式的观察支持）。

最值得注意的是，我们（以及其他研究人员）观察到许多LockBit 3.0的功能和子程序似乎直接借鉴自BlackMatter勒索病毒。

LockBit 3.0是否只是“改进版”的BlackMatter？

其他研究人员曾指出，LockBit3.0似乎采用了几个来源于BlackMatter勒索病毒家族的概念和技术。我们也进行了深入调查，发现了大量相似之处，强烈暗示LockBit3.0从BlackMatter重用了代码。

反调试技术

BlackMatter和LockBit 3.0使用特定技巧来隐藏其内部函数调用。在这两种情况下，勒索病毒从哈希表中加载/解析WindowsDLL，并基于ROT13。它会通过访问模块的PEB（进程环境区块）来获取所需函数的指针。接著会查找代码末尾的特定二进制数据标记（0xABABABAB）；如果找到此标记，则表明有人正在调试代码，并且不会保存指针，于是勒索病毒终止运行。

这些检查之后，将为每个所需的API创建特别的存根。可以随机创建五种类型的存根，每个存根都是一小段shellcode，能即时执行API的哈希解析并转到内存中的API地址，这使得在反向工程时使用调试器变得更加困难。

SophosLabs整理了一个&input=QjggNDQ4M2Y2NjAKQzFDMCAwNApGRkUw)来解码这