原文链接：Lockbit leak, research opportunities on tools leaked from TAs
译者：知道创宇404实验室翻译组

Lockbit是最常见的勒索软件之一。它附带了一个联盟勒索软件即服务（RaaS）计划，向参与者提供高达80%的赎金要求，并为那些发现并报告导致文件可以无需支付赎金解密漏洞的人提供了漏洞赏金计划。根据Lockbit所有者、同名网络犯罪组织的说法，已经支付了多达5万美元的赏金。除了这些特点之外，Lockbit还提供了一个可搜索的门户网站，用于查询被勒索软件家族攻击过的公司的泄露信息，甚至向那些在身上纹有Lockbit标志的人提供支付。

Lockbit v3，也称为Lockbit Black，于2022年6月首次被发现，这对自动化分析系统及分析师来说是一个挑战。其中最具挑战性的特征包括：

• 它支持使用随机生成密码的加密可执行文件。这将会阻止执行并阻碍自动化分析，除非在命令行中提供适当的密码。

• 有效载荷包括针对逆向工程分析的强大保护技术。

• 它包括许多未记录的内核级Windows函数.

2022年9月，多名安全新闻专业人士报道并证实了Lockbit 3的一个生成器工具的泄露。该工具允许任何人创建自己定制版本的勒索软件。其中两个不同的用户发布了创建不同变种的勒索软件所需的文件。

根据我们的分析，X（之前称为Twitter）用户@protonleaks和@ali_qushji发现了两个不同的变体。我们的时间戳分析证实，在两次泄露中builder.exe二进制文件略有不同。protonleaks版本的编译日期是2022年9月9日，而ali_qushji版本是的编译日期是2022年9月13日。在恶意软件的模板二进制文件（嵌入和不完整版本的恶意软件，用于构建最终可供分发的版本）中也发现了类似的编译时间差异。

ALI_QUSHJI泄露生成器

PROTONLEAKS泄露生成器

builder泄露事件

在builder泄露事件发生后，在我们GERT团队在事件响应过程中成功发现一起入侵事件，该事件利用Lockbit 3勒索软件的变种对关键系统进行了加密。我们的防护系统将此威胁确认并检测为“Trojan.Win32.Inject.aokvy”。

入侵行为包括Kaspersky Threat Intelligence团队在2022年8月的报告中所提到的八个主要勒索软件团伙（包括侦察、枚举、收集和部署等战术）类似的TTP（战术、技术和过程）。

尽管确认这个变种被确认为Lockbit，但赎金要求程序与已知的该威胁行为者实施的程序大相径庭。这次事件背后的攻击者决定使用一个不同的勒索信息，标题是关于一个以前不为人知的组织，名为NATIONAL HAZARD AGENCY。

在这种情况下，勒索留言直接描述了获得密钥要支付的金额，并指示使用Tox服务和电子邮件进行沟通，而不像Lockbit组织那样使用自己的平台进行沟通。

根据其他分析师的意见，不同的组织开始使用泄露的builder，但他们有自己的沟通渠道：

生成器有效负载分析

尽管许多黑客利用泄露提出了新的勒索软件组合，但Kaspersky的GERT团队决定分析生成器，以了解其构建方法并定义额外的分析机会。

生成器的分析解决了勒索软件有效负载带来的一些挑战：

• 生成器本身不包含任何保护机制，因为它将被攻击者使用，不应该暴露：没有反调试机制（至少在生成器本身中），没有反向工程保护，没有代码混淆，样本模板作为资源嵌入（解密器、EXE、DLL、反射式DLL）。
• 我们了解了配置参数是如何嵌入到有效载荷中，而无需对最终二进制文件进行逆向工程。

生成器呈现了不同的配置参数，这些参数被强制嵌入到恶意软件中。

Embedded resources嵌入式资源

加密器和解密器的模板被嵌入到生成器的资源部分：

• 100: LockBit 3.0 Decryptor (EXE)
• 101: LockBit 3.0 Encryptor (EXE)
• 103: LockBit 3.0 Encryptor (DLL)
• 106: LockBit 3.0 Encryptor (Reflective DLL)

提出了一种方法——基于生成器配置参数的方法以及如何将它们添加到选定的有效载荷——来计算:

• 如何执行参数配置解析
• 如何应用数据转换
• 配置如何加密，然后存储在最终的二进制文件中

有效载荷嵌入式配置

逆向工程分析确定配置信息被嵌入在一个名为.pdata的区段中，首先使用XOR函数和从随机种子派生的密钥进行加密，然后压缩以嵌入到有效载荷中。

如果样本配置为使用密码加密，则配置信息将首先嵌入到二进制文件中，然后使用唯一密钥对样本进行加密。

用于解密嵌入在该部分中的内容的XOR密钥的创建，依赖于两个随机密钥以及嵌入在二进制源代码中的其他固定值。

解密和随后的解压将生成一组样本配置参数，其中一些具有易于识别的加密机制。

接下来的步骤是解释这些字段，并对每个字段所需的应用解密，将其转化为可读的值。

生成器使用了一个自定义的哈希函数，对于配置参数中输入的white_folders、white_files、white_extens和white_hosts等值，它会产生一个4字节的值。其他字段则使用Base64和ROR13进行存储。

最后，通过解释config.json文件中字段的含义以及字段之间的关系，我们可以确认：

• 大多数配置字段根据其名称和内容很容易解释。
• 某些字段只接受在值列表中选择的值。
• 许多字符串值的字段在加载到载荷配置之前会使用ROR13进行存储。
• 某些字段接受多个列表值，使用“;”作为分隔符。
• 凭据必须以"<用户>:<密码>"的格式进行存储。

基于这些结果，我们定义了一个样本分析程序，并将其应用于多个样本，以确定有效载荷的参与者、目标和结构偏好的类型。

样本统计

此分析的目的是了解不同攻击者的应用参数，以构建在野外检测到的样本中配置的恶意软件。

在我们的研究中，共分析了396个不同的样本。根据时间戳，大部分是由泄露的生成器创建的样本，但还发现了其他日期为2022年6月和7月的未知生成器。

嵌入配置的一般统计信息如下：

• 许多检测到的参数与生成器的默认配置相对应，只有一些包含微小的更改。这表明样本可能是为了紧急需要或懒惰的攻击者开发而来。
• 最常见的加密目标是本地磁盘和网络共享，避免隐藏文件夹。
• 样本通常运行单个实例，并启用以下参数：
• 终止服务
• 终止进程
• 终止防御程序
• 删除日志
• 自我销毁
• 大多数已识别的样本都没有启用系统关闭选项。
• 90%的样本配置了通过PSEXEC进行网络部署，而72%的样本配置了通过GPO进行部署。
• 很少有样本启用与C2的通信。

C2通信配置显示很少被使用，并包括三个测试域。在分析的样本中没有发现可疑或恶意的域名，这表明对使用泄露的有效负载建立C2通信没有兴趣。

此外，在配置中冒充数据列表（在有效负载配置中注册的凭据）记录了一些常规数据和默认的暴力破解列表。但也有可能检测到其他带有特定数据的二进制文件，可以用来识别受攻击的组织或个人。

需要注意的是，Lockbit等勒索软件行为者将此类信息整合到样本中，因此必须妥善处理这些样本，以避免信息泄露。

最后，一些统计数据与除“原始”Lockbit之外的参与者使用泄露的生成器有关。我们发现77个样本在勒索说明中没有提及“Lockbit”字符串（不区分大小写），这与LB的TTP相当出乎意料。

修改后的勒索说明中没有提及Lockbit使用了不同的联系地址（邮件/URL），这表明可能有除了“原始”Lockbit之外的行为者滥用了生成器。

本文由 Seebug Paper 发布，如需转载请注明来源。本文地址：https://paper.seebug.org/3018/