1、概述
近期發生了某金融機構遭到勒索攻擊的事件 [ 1 ] 。多方信息表示,該事件與 LockBit 勒索攻擊組織存在密切關聯。安天 CERT 用 " 存在密切關聯 " 進行定性的原因是,LockBit 是一個基于 " 勒索軟件即服務 "(RaaS)模式運營的攻擊組織,其構建支撐勒索攻擊的基礎設施,包括研發發布勒索攻擊惡意代碼載荷、提供定制構造器、構建統一的勒索攻擊提示、構建虛拟貨币的支付通道,使各種攻擊組織、個人均能依托其 " 服務 " 進行攻擊作業,提供 RaaS 的組織和實施攻擊者之間通過敲詐勒索或販賣竊取數據獲得的贓款進行分賬。由于在 " 勒索即服務模式 " 中," 基礎設施 " 提供方和實施攻擊者通常不是同一組織和個體,甚至相互間是背靠背的,其支付是以比特币等加密數字貨币來運行的,給事件全面溯源分析帶來巨大的困難。
LockBit 被評爲 2022 年全球最活躍的勒索攻擊組織,其面向 Windows、Linux、macOS、以及 VMware 虛拟化平台等多種主機系統和目标平台研發勒索軟件,其生成器通過簡單交互即可完成勒索軟件定制。LockBit 勒索軟件僅對被加密文件頭部的前 4K 數據進行加密,因此加密速度明顯快于全文件加密的其他勒索軟件,由于在原文件對應扇區覆蓋寫入,受害者無法通過數據恢複的方式來還原未加密前的明文數據。該組織最早被發現于 2019 年 9 月,因其加密後的文件名後綴爲 .abcd,而被稱爲 ABCD 勒索軟件;該組織在 2021 年 6 月發布了勒索軟件 2.0 版本,增加了删除磁盤卷影和日志文件的功能,同時發布專屬數據竊取工具 StealBit,采用 " 威脅曝光(出售)企業數據 + 加密數據 " 雙重勒索策略;2021 年 8 月,該組織的攻擊基礎設施頻譜增加了對 DDoS 攻擊的支持;2022 年 6 月勒索軟件更新至 3.0 版本,由于 3.0 版本的部分代碼與 BlackMatter 勒索軟件代碼重疊,因此 LockBit 3.0 又被稱爲 LockBit Black。這反應出不同勒索攻擊組織間可能存在的人員流動、能力交換等情況。使用 LockBit RaaS 實施攻擊的相關組織進行了大量攻擊作業,通過第三方獲取訪問憑證、漏洞武器化和搭載其他惡意軟件等方式入侵至受害者系統後投放勒索軟件,大量受害者遭受勒索與數據洩露,使 LockBit 成爲目前最活躍的勒索攻擊組織,甚至主動采取了傳播和 PR 活動。
2、近年典型攻擊事件
使用 LockBit 勒索組織 RaaS 服務的攻擊者,主要通過第三方獲取訪問憑證、漏洞武器化和搭載其他惡意軟件等方式實現對受害系統的初始訪問,竊取數據文件後投放 LockBit 勒索軟件實現加密。該組織附屬成員較多,在其 Tor 網站幾乎每天都有新增來自世界各地的受害者信息,自采用 " 威脅曝光企業數據 + 加密數據勒索 " 雙重勒索策略以來,其 Tor 網站上共計發布 2200 餘條受害企業信息,2023 年截至目前已發布 900 餘條受害企業信息,如附屬成員和受害企業通過 " 私下談判 " 的方式,則不會在 Tor 公開受害企業信息,也意味着實際受害企業數量會超過其公開發布過的受害企業數量。
表 2 ‑ 1 遭遇 LockBit 勒索攻擊的典型事件清單
3、攻擊組織和對應攻擊情況概覽
表 3 ‑ 1 LockBit 攻擊組織基本情況
4、曆史關聯攻擊活動的典型技戰術行爲圖譜
基礎設施開展勒索攻擊的組織人員較多,作業風格又有不同差異,衆多事件沒有披露更多細節。對整個攻擊生命周期的攻擊入口、突防方式、橫向移動、關鍵資産竊取路徑等分析難以展開,我們通過目前掌握的線索對相關攻擊常見戰術和技術形成清單,并基于 ATT&CK 框架進行标注。
圖 4 ‑ 1 LockBit 相關勒索攻擊的常見戰術行爲圖譜
對應清單如下:
表 4 ‑ 1 LockBit 相關勒索攻擊的常見戰術行爲列表
5、LockBit3.0forWindows版本樣本分析
由于 RaaS 支撐的勒索攻擊是多個不同組織采用統一的攻擊基礎設施,依托各攻擊組織本身的攻擊能力和掌握的入口資源,使用同一套基礎代碼版本叠代和免殺加工的載荷進行攻擊。因此 RaaS+ 定向勒索分析是一個多要素綜合分析,特别是要針對攻擊基礎設施、攻擊戰術和攻擊樣本分别展開分析。LockBit 有針對多個常見系統平台載荷,我們本篇先發布對其 For Windows 版本的曆史分析,後續再發布其他樣本的分析。
表 5 ‑ 1 樣本标簽
注:可在計算機病毒分類命名百科全書 Virusview.net,搜索 "LockBit" 查看更多改病毒家族相關信息。
LockBit 3.0 勒索軟件執行後會釋放 .ico 文件和 .bmp 文件于 %PROGRAMDATA% 路徑下,用作後續被加密文件的圖标和修改的桌面壁紙。
圖 5 ‑ 1 附加擴展名
勒索軟件釋放勒索信包含 Tor 地址,用于贖金溝通。
圖 5 ‑ 2 勒索信
修改的桌面背景如下圖所示:
圖 5 ‑ 3 修改桌面背景
LockBit 3.0 的代碼段進行了加密,在執行後會根據傳入的 "-pass" 命令行參數解密執行,沒有密碼則無法執行,用該手段避免核心功能被分析。
圖 5 ‑ 4 解密代碼段
通過 NtSetThreadInformation 函數将線程信息設置爲 ThreadHideFromDebugger,以幹擾研究人員分析。
圖 5 ‑ 5 幹擾分析代碼片段
檢測系統語言,如果爲特定語言則退出程序,不再執行。
圖 5 ‑ 6 檢查語言
具體檢查的語言列表如下,通過其規避的系統,可見 LockBit 組織本身具有較強的東歐背景特點。
表 5 ‑ 2 檢查的語言列表
創建多個線程進行加密,并将線程設置爲隐藏。
圖 5 ‑ 7 創建文件加密線程
6、定向勒索攻擊對關基安全挑戰和應對思考
從定向勒索攻擊造成後果損失來看,我們必須改變對安全風險與價值的認知範式。由于定向勒索攻擊已經形成了竊取數據、癱瘓系統和業務、販賣數據和曝光數據的組合作業。其最大化風險不隻是系統和業務癱瘓無法恢複,而同時面臨被攻擊企業的用戶信息、關鍵數據、文檔、資料、代碼等核心資産被倒賣,被公開的風險,從而帶來更大的連鎖反應。從國内外長期的領域現實來看,較大比例政企機構改善自身的安全動力,并不來自于提升防護水平的能動性,包括很多企事業單位認爲最可能發生的安全風險,不是遭遇攻擊,而是因達不到合規标準,會遭到處罰。因此,構成了一套投入——合規——免責的低限建設運行邏輯。而定向勒索所帶來的後果,讓 IT 決策者必須判斷極限風險,并通過極限風險損失來判斷網絡安全的工作價值,如何避免業務長時間中斷、數據徹底無法恢複、被竊取的數據資産被競争對手購買,或因曝光嚴重貶值等極限情況,都是從 IT 決策者到每一個機構必須應對的風險。客觀的敵情想定是做好網絡安全防禦工作的前提。而基于底線思維的後果推演,也同樣是想定的一部分。從預算投入方面,我們通常将網絡安全在信息化的占比作爲一個度量衡,這使網絡安全長期處在從屬、配套和被壓制狀态。網絡安全風險後果是否才應該是安全投入的第一度量衡,也需要我們來思考。
從定向勒索攻擊的作業方式來看,我們必須認識到其在加密毀癱行爲觸發前,是類似 APT 攻擊的高度定制化的作業過程。攻擊者或是專業的攻擊團隊,有堅定的攻擊意志、較高的攻擊能力、充分的可利用漏洞資源、并能掌握大量可利用的脆弱性情報和攻擊入口資源,有的可能直接就是内部的攻擊者。這才是依托 RaaS 的定向勒索攻擊行動,面對有較強 IT 運營能力和防護投入的大型機構仍能屢屢得手的原因。無論在勒索防護中扮演最後一道防線的主機系統防護,還是作爲最後應對手段的備份恢複,都隻是一個單點環節,都在應對高水平定向攻擊中扮演在本身能力範圍内檢測阻斷攻擊、降低攻擊成功率、提高攻擊成本、降低風險損失的局部作用,但都無法以單點來對抗體系性的攻擊。
我們必須嚴肅的指出:将定向勒索攻擊簡單的等同于早期非定向擴散或廣泛投放的勒索病毒的威脅,将勒索應對簡單看成是加密毀癱 VS 備份恢複的單點對抗,是極爲落後、片面的安全認知。如果沒有一套完整的防護體系和運營機制,而是認爲依靠數據備份恢複來應對勒索攻擊。就如同隻出場一名守門員,來對抗對方的一支球隊。
從定向勒索攻擊的殺傷鏈特點來看,我們要堅信防範定向勒索攻擊有系統化的方法和落地抓手。針對體系性的攻擊,必須堅持關口前移,向前部署,構成縱深,閉環運營。提升攻擊者火力偵察和進展到外圍地帶的發現能力,攔截于前。降低攻擊方進入到核心地帶的可能性。提升網絡和資産可管理性是工作的基礎:主動塑造和加固安全環境、強化暴露面和可攻擊面管理的約束和管理、強化對供應鏈上遊入口的管控、啓動全面的日志審計分析和監測運行。構建從拓撲到系統側的防禦縱深,針對攻擊者探測、投放、漏洞利用、代碼運行、持久化、橫向移動等行爲展開層層設防,特别要建設好主機系統側防護作爲最後一道防線和防禦基石,構建圍繞執行體識别管控的細粒度治理能力,最終通過防護體系以達成感知、幹擾、阻斷和呈現定向攻擊方殺傷鏈的實戰運行效果。
附錄一:安天爲助力主管機構、客戶和公衆應對勒索攻擊所作的部分工作
安天一直緻力于提升客戶有效防護能力,并和客戶共同提升對安全的理解和認知。
安天長期持續跟蹤勒索攻擊的演進變化,持續發布威脅研判報告,在 2006 年 6 月 14 日截獲分析了國内最早的勒索軟件 redplus(Trojan.Win32.Pluder.a),之後又發布《揭開勒索軟件的真面目》(2015 年) [ 2 ] 、《安天針對勒索蠕蟲 " 魔窟 "(WannaCry)的深度分析報告》 [ 3 ] 、《勒索軟件 Sodinokibi 運營組織的關聯分析》 [ 4 ] 和《關于美燃油管道商遭勒索攻擊事件樣本與跟進分析》 [ 5 ] 等重要報告,特别是在WannaCry(魔窟)勒索蠕蟲大規模爆發事件前五個月,做出了勒索攻擊将帶動蠕蟲回潮的預判 [ 6 ] 。在 WannaCry 勒索蠕蟲的響應中,安天一方面快速跟進分析,同時爲用戶提供防護手冊 [ 7 ] 和開機指南 [ 8 ] 并提供了免疫工具、專殺工具、内存密鑰獲取和恢複工具等。在 " 必加 " ( PETYA ) 僞裝成勒索的毀癱攻擊中,也第一時間做出了其可能不是一起勒索攻擊事件的準确判斷。安天 CERT 持續跟蹤各勒索軟件家族和 RaaS 攻擊組織,針對 LockBit [ 9 ] 、GandCrab [ 10 ] 和Sodinokibi等流行勒索軟件家族發布了樣本分析報告及防護建議,特别是基于垂直響應平台推出了《從八個方面認識勒索攻擊和危害》專題系列文章 [ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ] [ 16 ] ,助力政企客戶和公衆了解勒索攻擊,提升防範意識。2021 年,爲加強勒索病毒攻擊防範應對,在工業和信息化部網絡安全管理局指導下,中國信通院聯合安天等單位編制發布了《勒索病毒安全防護手冊》 [ 17 ] ,手冊對如何防範勒索攻擊提出了詳細的清單化的建議。
安天基于自主研發的AVL SDK 反病毒引擎支撐自身産品和引擎生态合作夥伴的惡意代碼檢測能力,對包括勒索病毒在内的各類惡意代碼工具進行精準檢測和清除。安天智甲終端防禦系統、睿甲雲防護系統基于安天執行體治理的基本理念,協助客戶塑造可信安全主機環境。安天智甲端側構建了由系統加固、主機防火牆(HIPS)、掃描過濾、執行管控、行爲防護、重點數據保護的組合安全機制,針對勒索攻擊構成多個防護層次,特别重點數據保護機制,基于對批量文件讀寫的攔截,在其他安全機制均被繞過失效的情況下,嘗試實現行爲攔截和止損。當然,我們從來不相信網絡安全存在銀彈。我們緻力于我們的引擎和每個産品都能在其作戰位置最大化發揮價值,接受實戰對抗的檢驗。相關内容,可以參考《安天産品助力用戶有效防護勒索攻擊》 [ 18 ] 進行了解。
附錄二:參考資料
安天 . 揭開勒索軟件的真面目 [ R/OL ] . ( 2015-08-03 ) ,https://www.antiy.com/response/ransomware.html.
[ R/OL ] . ( 2017-05-13 ) ,https://www.antiy.com/response/wannacry.html.
[ R/OL ] . ( 2019-06-28 ) ,https://www.antiy.com/response/20190628.html.
[ R/OL ] . ( 2021-05-11 ) ,https://www.antiy.com/response/20210511.html.
[ R/OL ] . ( 2017-01-06 ) ,https://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html.
[ R/OL ] . ( 2017-05-13 ) ,https://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html.
[ R/OL ] . ( 2017-05-14 ) ,https://www.antiy.com/response/Antiy_Wannacry_Guide.html.
[ R/OL ] . ( 2021-09-20 ) ,https://www.antiy.cn/observe_download/observe_296.pdf.
[ R/OL ] . ( 2018-02-28 ) ,https://www.antiy.com/response/20180228.html.
[ R/OL ] . ( 2021-11-23 ) ,https://mp.weixin.qq.com/s/oMneQmmYQF5B4nWVulJl1g.
[ R/OL ] . ( 2021-11-23 ) ,https://mp.weixin.qq.com/s/nrbVpjA2-jfTzjojbyFpJA.
[ R/OL ] . ( 2021-11-24 ) ,https://mp.weixin.qq.com/s/24bIz-e4_Ts-Th0ecCWfgQ.
[ R/OL ] . ( 2021-11-25 ) ,https://mp.weixin.qq.com/s/RL4E9v4wvazgj2UNdbMypA.
[ R/OL ] . ( 2021-11-26 ) ,https://mp.weixin.qq.com/s/Jmz58xQBcytCIWx51yxBTQ.
[ R/OL ] . ( 2021-11-26 ) ,https://mp.weixin.qq.com/s/1wehEDr7dTo-wdJYzfoS-A.
http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/P020210908503958931090.pdf.
https://mp.weixin.qq.com/s/nOfhqWiw6Xd7-mvMt2zfXQ.
