江民赤豹反病毒：發(fā)現(xiàn)并阻止新型LockBit勒索病毒

2023-11-18?來源：安全資訊

01.LockBit 發(fā)展歷程 LockBit 是自2019年以來全球更新最快最穩(wěn)定的勒索病毒，用于針對企業(yè)和其他組織進行高度針對性的攻擊，自動篩查有價值的目標、傳播感染并加密網(wǎng)絡(luò)上所有可訪問的

01.LockBit 發(fā)展歷程

LockBit 是自2019年以來全球更新最快最穩(wěn)定的勒索病毒，用于針對企業(yè)和其他組織進行高度針對性的攻擊，自動篩查有價值的目標、傳播感染并加密網(wǎng)絡(luò)上所有可訪問的計算機系統(tǒng)。該勒索病毒已經(jīng)成為全球最活躍的勒索病毒之一。

LockBit 勒索病毒首次于 2019 年 9 月被發(fā)現(xiàn)，因其加密后的文件名后綴為.abcd，而被稱為ABCD勒索病毒。

在2021年6月發(fā)布了勒索軟件LockBit2.0版本，增加了刪除磁盤卷影和日志文件的功能，同時發(fā)布專用竊密木馬StealBit，對受害者進行雙重勒索策略

2022 年 6 月更新了勒索軟件LockBit3.0版本，由于LockBit3.0版本的一些代碼與BlackMatter勒索軟件代碼重疊，因此LockBit 3.0又被稱為LockBit Black。

02.LockBit 最新攻擊事件

11月8日，工銀金融服務(wù)有限責任公司（工銀金融）官網(wǎng)發(fā)布聲明稱，遭LockBit勒索軟件攻擊，導(dǎo)致部分系統(tǒng)中斷。工銀金融成立于2010年7月12日，是中國工商銀行在美全資子公司。

最近幾日，X社交媒體（原Twitter）上流出了黑客組織在某安全研究平臺VXunderground上發(fā)布 LockBit 組織代表在 Tox 上公開確認針對ICBCFS 的攻擊行為，如下圖所示：

雖然工銀金融尚未正式發(fā)布調(diào)查結(jié)果，但根據(jù)推測，攻擊者利用了CitrixBleed漏洞（CVE-2023-4966）。工銀金融的Citrix服務(wù)器最后一次上線是在周一，攻擊發(fā)生以后離線，工銀金融可能沒有對其Citrix NetScaler Gateway網(wǎng)關(guān)設(shè)備中的漏洞進行修補。Citrix廠商最近發(fā)布了該漏洞的補丁。這是一個嚴重高危漏洞，因為黑客組織可以輕易利用它繞過身份驗證，入侵企業(yè)系統(tǒng)。這個漏洞最近在針對未打補丁的政府和企業(yè)網(wǎng)絡(luò)的攻擊中被多次利用。目前Citrix廠商已發(fā)布新的升級漏洞補丁。

03.江民發(fā)現(xiàn)并阻止LockBit新型勒索病毒案例

某金融技術(shù)股份公司專注于開發(fā)創(chuàng)新性的軟件解決方案，是一家在行業(yè)領(lǐng)先的企業(yè)。然而該公司不幸成為了勒索組織攻擊的目標之一。該黑客組織采用惡意宏文件、郵件文件作為攻擊入口點，文件標題為最近熱門話題，誘導(dǎo)用戶點擊惡意文件。赤豹終端安全軟件在新型勒索軟件造成大規(guī)模破壞之前，展現(xiàn)了優(yōu)秀的檢測能力，成功發(fā)現(xiàn)并阻止了LockBit新型勒索軟件在其內(nèi)網(wǎng)服務(wù)器上的執(zhí)行，為用戶的核心資產(chǎn)安全提供了堅實的保障。

04.LockBit攻擊樣本分析

該新型勒索組織在新的“3.0 版”泄漏網(wǎng)站上發(fā)現(xiàn)了許多受害者，這些網(wǎng)站是一系列公開博客，命名不合規(guī)的受害者并泄露提取的數(shù)據(jù)。

LockBit 3 勒索軟件泄露網(wǎng)站

該樣本文件運行以后會出現(xiàn)以下勒索提示信息：

以上圖所示就是勒索信

以上圖所示就是勒索以后桌面壁紙

1、該樣本文件具有反調(diào)試功能，通過使用未導(dǎo)出函數(shù)實現(xiàn)了兩種反調(diào)試手段：第一種通過設(shè)置線程狀態(tài)來實現(xiàn)對調(diào)試器隱藏。

第二種則通過對關(guān)鍵API打補丁來繞過調(diào)試器。

2、在對樣本調(diào)試分析當中，發(fā)現(xiàn)Lockbit3.0需要一個pass參數(shù)來解密其主程序，否則逆向進程就會崩潰自解密區(qū)段，對.text、.data、.pdata三個區(qū)段進行解密操作。

3、該樣本中文件目錄排除列表是操作系統(tǒng)運行所需的常用系統(tǒng)目錄：

4、然后樣本在C:\ ProgramData下生成lockbit的圖標文件用于將感染文件圖標進行替換，主要是通過關(guān)聯(lián)注冊表的方式實現(xiàn)。

5、RSA公鑰的前八個字節(jié)+隨即生成的八字節(jié)作為個人ID。

6 對于系統(tǒng)上的文件，需要進行三步判斷來進行加密：（1）判斷當前文件是否為目錄；（2）判斷是否為白名單文件夾；（3）判斷文件大小是否為0、擴展名是否在白名單中；當三個條件都滿足才會進行加密。

該樣本中毒以后的截圖如下：

05.赤豹反病毒實驗室給出的對抗防御措施

1、安裝江民反病毒產(chǎn)品并將病毒庫升級為最新版本，并定期進行全盤掃描。

2、在使用移動介質(zhì)前，應(yīng)對移動介質(zhì)內(nèi)文件進行掃描確認不攜帶病毒文件。

3、不打開陌生電子郵件，防止魚叉式釣魚式攻擊。

4、及時更新操作系統(tǒng)及應(yīng)用軟件補丁，防止漏洞利用攻擊。

5、為本機管理員賬號設(shè)置較為復(fù)雜的密碼，預(yù)防病毒通過密碼猜測進行傳播，最好是數(shù)字與字母組合的密碼。

6、不要從不可靠的渠道下載軟件，因為這些軟件很可能是帶有病毒的。

7、定期進行目標機器的異常檢查，包括是否出現(xiàn)新增賬戶、Guest是否被啟用、系統(tǒng)日志是否存在異常、殺毒軟件是否存在異常攔截等。

返回上級

这里有久久精品66,欧美日韩在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站

新聞中心

江民赤豹反病毒：發(fā)現(xiàn)并阻止新型LockBit勒索病毒

这里有久久精品66,欧美 日韩 在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站

新聞中心

江民赤豹反病毒：發(fā)現(xiàn)并阻止新型LockBit勒索病毒

这里有久久精品66,欧美日韩在线 xxx,熟妇一区二区在线免费观看,97夫妻在线,视频,中文幕av一区二区三区,精品亚洲999久久久久,精品国产欧美日韩,久久中文字幕日韩,久久精品三级网站