-
-
威胁情报小课堂:LockBit Black
-
发表于: 2024-5-10 20:15 2065
-
LockBit Black
情报来源:https://www.threatdown.com/blog/lockbitblack-05-01-2024/
制作:梦幻的彼岸
动画:
传播链条
今天,我们来看看源自恶意电子邮件的勒索软件攻击。这是一种典型的社交工程攻击,目标可能是你的任何员工,对那些经常与第三方沟通的员工可能最有效。这里的诱饵是一个文档,但也很可能是更具体的内容,如发票、停车罚单等。
这封邮件来自于 2024 年 4 月底左右观察到的恶意邮件活动,由 LockBit Black(又名 LockBit 3.0)的附属勒索软件发起。
Distribution (email->ZIP->SCR->download EXE)
此 LockBit Black 恶意软件样本是通过使用 Phorpiex 僵尸网络的恶意邮件活动传播的。主题为 “Your Document”的电子邮件包含一个压缩附件。压缩包内的文件使用双扩展名技巧(.doc.scr)来伪装 Word 文档。
更换壁纸:
加密文件:
勒索信:
!! ALL YOUR FILES ARE ENCRYPTED !!! You can't restore them without our decryptor. Don't try to use any public tools, you could damage the files and lose them forever. To make sure our decryptor works, contact us and decrypt one file for free. Download TOX messenger: https://tox[.]chat/ Add friend in TOX, ID: {sanitized}
执行流程
保护措施
我们通过查看每个保护层对 ThreatDown 进行了测试:
- 反漏洞利用:从电子邮件客户端打开附件时被阻止
- 反恶意软件引擎:从磁盘执行时检测到附件
- 反恶意软件引擎: 从磁盘执行时检测到 LockBit 有效载荷
- 反勒索软件: Lockbit 加密
端点检测和响应 (EDR)
EDR检测到与禁用卷影副本相关的LockBit可疑活动。
缓解措施
ThreatDown 的客户已经受到了防范这种威胁的保护,而不仅仅是通过一个特定的安全层。这一点对于勒索软件等威胁尤为重要,因为它们具有很强的破坏性。
在这次攻击中,有几个因素是任何人都可以借鉴的:
- 恶意电子邮件要求用户 “尽快回复”。这是犯罪分子常用的伎俩,因为他们知道,在他们的有效载荷被检测到之前,他们往往只有非常有限的时间窗口。他们希望你迅速采取行动,放松警惕。
- 附件是一个压缩文件,包含一个可执行文件。许多甚至大多数电子邮件客户端都不允许直接附加可执行文件。威胁者会将其压缩为 .zip、.rar 或其他扩展名。当然也有合法的压缩包,但当文件以这种方式打包时,你应该格外小心。
- 压缩包中的文件名为 Document.doc.scr。问题是,微软视窗通常会省略已知的扩展名类型。因此,该文件看起来像有一个 .doc 扩展名(因此看起来像一个文档),而实际上它是一个 .scr(屏幕保护程序,但可执行)。最好更改该设置,强制 Windows 显示所有扩展名。
威胁情报标识
Email subject
Your Document
Email body
Hello, you can find your document in the attachment. Please reply as soon as possible. Kind regards, GSD Support.
Attachment name
Document.zip
Attachment SHA256
1c5fd7bf511885054464124142f793501ab2c6e987b203c1a5f4b3bdcccb1fa1
Extracted attachment name
Document.doc.scr
Extracted attachment SHA256
0cc54ffd005b4d3d048e72f6d66bcc1ac5a7a511ab9ecf59dc1d2ece72c69e85
LockBit 下载地址
hxxp[://]193[.]233[.]132[.]177/lbb[.]exe
LockBit SHA256
a18a6bacc0d8b1dd4544cdf1e178a98a36b575b5be8b307c27c65455b1307616
补充资料
卷影副本
卷影副本(Volume Shadow Copy),是Microsoft Windows操作系统中集成的一种数据保护和技术恢复功能。该功能通过卷影复制服务(Volume Shadow Copy Service, VSS)实现,旨在帮助用户和系统管理员在文件或系统遭受意外修改、删除或损坏的情况下,能够恢复到之前的状态。
卷影副本的核心特点和功能包括:
- 备份与还原:允许用户将文件或文件夹还原到在被更改或删除之前的某个时间点,对于应对意外数据丢失极为有效。
- 实时数据保护:系统可以定期自动创建卷的快照(即卷影副本),这样在系统出现问题时,可以迅速恢复到最近的一个可用状态。
- 不影响用户操作:卷影副本的创建过程在后台进行,不会干扰用户的正常文件访问和使用,确保了用户体验的连贯性。
- 卷影副本集:这是一组同时创建的不同卷的快照集合,每个卷影副本和副本集都有唯一的标识符(GUID),便于管理和恢复。
- 兼容性和应用:卷影副本不仅适用于本地硬盘上的数据,也广泛应用于网络共享文件夹,使得网络环境中的文件恢复成为可能。此外,它还支持各种备份和灾难恢复解决方案,包括与第三方数据保护管理软件的集成。
- 技术实现:通过VSS接口,应用程序可以在数据改变前请求创建一个卷的即时状态副本。这个过程中,即使文件正在被使用中也能创建成功,因此特别适合在有活跃数据的环境中实施备份。
综上所述,卷影副本是一项强大的数据保护机制,为Windows平台上的数据安全和恢复策略提供了重要支持。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
赞赏
- [原创]物联网安全:基础篇 4157
- 威胁情报小课堂:阻止活跃勒索软件的感染 2188
- [翻译]发现利用 Facebook 和 MS 管理控制台实施的 Kimsuky APT 攻击 7077
- 威胁情报小课堂:LockBit Black 2066
- 威胁情报小课堂:Nitrogen 2087