数字革命引起了全球对网络安全问题的日益关注。勒索软件是网络威胁中最重要的一个, LockBit 勒索软件 家族尤为引人注目。自 2019 年成立以来,LockBit 经历了无数次勒索软件事件,到 2022 年,它已成为部署最广泛的勒索软件变种,并在 2023 年和 2024 年继续活跃。根据 Flashpoint 的数据,从 2022 年 7 月到 2023 年 6 月,这种勒索软件造成了所有已知勒索软件攻击中的 27.93%。
图1 勒索病毒家族攻击事件统计
LockBit 不仅针对各种规模的组织,还涉及金融服务、食品和农业、教育、能源、政府和紧急服务等关键基础设施领域。
LockBit 有意避免针对俄罗斯或其他独联体国家,可能是为了避免法律制裁。据 LockBit 称,尽管他们的基地在荷兰,但许多成员都来自这些地区。因此,他们可能会出于法律、地缘政治或个人安全方面的考虑采取预防措施,防止在这些地区发动攻击。这一策略旨在最大限度地降低法律后果和报复行动的风险。
LockBit 采用勒索软件即服务 (RaaS) 模式运营,招募关联方进行勒索软件攻击。由于涉及众多不相关的关联方,LockBit 的攻击在所使用的策略、技术和程序上差异很大。这种多变性给组织在维护网络安全和防御勒索软件威胁方面带来了重大挑战。
图 2:勒索软件即服务 (RaaS)
在本指南中,我们分析了 LockBit 的历史以及其勒索软件攻击的独特之处。我们的目标是提高人们对这些网络威胁严重性的认识,并探索潜在的防御措施。通过研究 LockBit 及其关联公司的方法,我们可以更好地了解现代网络威胁的性质,为网络安全的未来提供宝贵的见解。
LockBit 勒索软件的发展历史
1.2019:起源与早期发展
LockBit 最初以“ABCD”勒索软件的形式出现,主要通过网络入侵和电子邮件网络钓鱼攻击进行传播。
2. 2020:LockBit 2.0 – 发展与创新
此版本代表了 LockBit 的重大改进,引入了自动化工具,大大提高了文件加密速度。它还提供了更方便的赎金支付和解密服务,并包含 StealBit 信息窃取工具。
3. 2021 年:LockBit 3.0 – 技术升级和战略调整
推出LockBit Black,又称LockBit 3.0,支持Windows和Linux系统。该版本采用更高效的加密算法和更复杂的赎金支付系统。LockBit 3.0实施了“双重勒索”策略,为攻击增加了额外的威胁层。
4. 2023 年:最新进展
LockBit Linux-ESXi Locker:扩展到目标 Linux 和 VMware ESXi 系统。
LockBit Green:集成了Conti勒索软件的元素,增强了攻击能力。
图 3:LockBit 开发时间表
LockBit 的演变不仅展示了其作为勒索软件的技术进步,还凸显了其在网络犯罪领域日益扩大的威胁。这种情况为网络安全专家和组织提供了重要的见解。了解 LockBit 的发展历史和各种攻击方法对于制定有效的防御策略至关重要。
随着 LockBit 勒索软件的不断发展,其对全球网络安全的威胁也日益增加。LockBit 不仅在技术上变得更加复杂,而且受害者范围也在不断扩大。此外,通过其 RaaS 模型,LockBit 允许技术能力有限的个人轻松参与其网络犯罪活动,进一步加剧了其威胁程度。
LockBit 的历史和演变揭示了一个关键现实:网络威胁是一个不断发展的领域,只有通过持续关注和研究,我们才能有效应对这些挑战。接下来,我们将探索 LockBit 的近期活动和技术细节,以更深入地了解其攻击方法。
技术细节和攻击策略
LockBit 勒索软件作为当今最先进的网络威胁之一,它由黑市商业运营模式驱动,正如我们上面看到的,该模式不断迭代和更新其技术。
这表明攻击者致力于不断改进其攻击方法。LockBit 的频繁更新和高适应性使其成为网络安全领域中极具挑战性的威胁。
下面详细介绍LockBit的关键技术特征和攻击策略:
图4:LockBit攻击过程
初始入侵
LockBit 运营者采用各种策略来获取初始访问权限。他们可能利用互联网服务中的漏洞、进行密码暴力攻击或进行网络钓鱼以获取有效的登录凭据。此外,他们还可能发送定制的网络钓鱼电子邮件,旨在渗透办公室主机并获得控制权。为了提高效率和成功率,LockBit 攻击者经常与“初始访问代理”(IAB)合作。
初始访问代理 (IAB) 是获取和出售受害者网络访问权限的中介。他们通过各种方法获取访问权限,例如 RDP、VPN、Web Shell、SSH 和其他直接访问点。此访问包括未经授权进入资产、数据库和系统用户帐户。IAB 还交易可利用的企业系统和具有已知漏洞的网络设备,例如 Citrix、Fortinet、ESXi 和 Pulse Secure 中的系统和网络设备。这些代理通常在黑客论坛上出售访问权限,有时会多次向不同的勒索软件组织出售访问权限。
IAB与勒索软件供应商之间存在供需关系,通过匿名IM工具和数字货币交易实现供需关系,勒索软件运营者可以利用黑客论坛购买IAB提供的访问权限,直接植入勒索软件,达到勒索目的。
图 5:地下论坛上的数据/访问销售
最近的 LockBit 攻击主要利用 CVE-2023-4966(Citrix Bleed 漏洞)进行初始入侵。LockBit 3.0 的附属机构利用此漏洞绕过多因素身份验证 (MFA),劫持 Citrix NetScaler 应用程序交付控制器 (ADC) 和网关设备上的合法用户会话。攻击者发送特制的 HTTP GET 请求来检索系统内存信息,包括 NetScaler AAA 会话 cookie。利用这些 cookie,他们在 NetScaler 设备上建立了经过身份验证的会话,而无需用户名、密码或 MFA 令牌。
图 6:Citrix/NetScaler 网关资产分布
深度渗透与执行
LockBit勒索病毒使用的诱饵格式与大多数钓鱼邮件一致,通常包含以下类型的文件:
- Word 文档:这些文档可能包含恶意宏。当用户打开这些文档并启用宏时,附件会在计算机上安装恶意软件。
- HTML 附件:HTML 附件是最常见的网络钓鱼攻击之一,因为它们通常被认为比其他文件类型更不可疑。
- 可执行文件:这些文件可能以 .vbs、.js、.exe、.ps1、.jar、.bat、.com 或 .scr 等扩展名结尾,因为所有这些文件都可以用于在计算机上执行命令。
在波音披露的案例中,初始勒索样本为ps1脚本,进程首先执行一个PowerShell脚本(如123.ps1),该脚本将两个base64字符串连接、转换并写入文件(adobelib.dll),然后使用rundll32调用该dll文件,并传递一个104个字符的字符串参数进行解密执行。
图7:波音事件(123.ps1)
权限提升和横向移动
攻击者进一步渗透内部网络:
凭证访问(T1003):Mimikatz、ProxyShell 等工具可用于凭证访问和横向移动。
横向移动 (T1021):使用 PsExec 或 Cobalt Strike 等工具在受控机器和网络内的其他机器上执行代码。
防御规避
LockBit 使用 BYOVD(自带易受攻击的驱动程序)技术,具体来说就是滥用合法驱动程序和工具,例如 GMER、PC Hunter 和 Process Hacker。这些工具旨在进行系统诊断和安全分析,但在攻击者手中,它们被用来绕过安全措施。
GMER、PC Hunter 和 Process Hacker 是常用的 rootkit 检测和系统监控工具。它们具有内核级访问权限,允许进行深度系统级操作。LockBit 攻击者通过以下方式利用这些工具:
- 禁用或绕过 EDR 和防病毒软件:攻击者使用这些工具的驱动程序来禁用或绕过系统上运行的安全软件,使得恶意活动更难检测。
- 修改系统内核结构:这些工具可以访问和修改内核数据结构,包括禁用强制驱动程序签名和受保护进程灯 (PPL) 保护。
- 隐藏恶意活动:这些工具用于隐藏恶意进程和文件,并清理日志记录以避免安全分析和取证。
在波音案中,LockBit 攻击者使用了 Process Hacker 工具。Process Hacker 是一款高级系统监控工具,提供系统资源监控、调试和内存查看等功能。
根据loldrivers项目统计,目前共有433个合法驱动(仅为统计数据)可被利用进行攻击活动。
图 8:面临虐待风险的司机
影响
LockBit 3.0 的最终目标包括数据破坏和勒索:
- 数据加密:使用AES和RSA算法加密数据。
- 数据泄露:使用StealBit或云存储工具上传文件进行双重勒索。
例如,波音公司因未支付赎金而泄露了大约 40GB 的数据。
图 9:LockBit 公开泄露的被盗数据
结论
LockBit 勒索病毒的专业操作和不断发展的技术策略表明了网络犯罪世界的进步。这表明传统的防御措施不足以应对日益专业化和复杂的威胁。
网络安全防御必须是动态的、不断发展的,需要不断优化安全策略、技术手段、管理流程,不断学习、适应、创新,才能有效抵御这些狡猾的网络攻击,确保网络环境的稳健安全。
预防建议
为了对抗 LockBit 勒索软件,公司和组织可以从风险管理的角度实施各种预防措施,以加强其安全防御:
- 互联网资产风险发现:通过对域名、IP、关键字等进行综合查询、关联分析,发现、识别、监控、审计互联网资产,挖掘和整理未知互联网资产。
- 定期更新和修补:确保操作系统和软件(特别是安全软件和常用应用程序)保持最新版本,并及时应用安全补丁。
- 漏洞扫描:使用漏洞扫描器对Web应用资产进行安全扫描,识别Web应用中的安全漏洞(OWASP TOP10、弱密码、CVE漏洞等)。
- 渗透测试:进行手动渗透测试,模拟黑客使用的技术和攻击方法,进行非破坏性的漏洞发现,以识别系统中潜在的安全风险。
- 安全意识培训:通过教育员工如何识别和避免网络钓鱼攻击、可疑电子邮件和链接来增强员工的安全意识。
- 备份和恢复计划:定期备份关键数据,并确保备份存储在安全、隔离的位置。定期测试数据恢复过程。
实施多重保护措施,确保资产安全,降低未知的安全风险:
- 曝光表面汇聚:实施暴露面收敛策略,采用零信任方案实现网络资源安全访问,最大限度减少暴露在互联网上的攻击面。利用云安全防护隐藏外部站点源IP,构建分层防御体系。
- 网络安全保护:部署 WAAP(Web 应用程序和 API 保护)产品,以保护 Web 应用程序和 API 免受各种网络攻击,例如 SQL 注入、跨站点脚本 (XSS)、跨站点请求伪造 (CSRF) 和 API 滥用。
- 网络访问控制:合理划分网络安全域,确保关键网络区域内外隔离,限制攻击者在内网横向传播威胁的能力。如可行,可进一步实施网络微分段,实现更细粒度的网络访问控制。
- 入侵检测与响应计划:部署网络和端点检测和响应(NDR/EDR)工具来监控网络和系统活动,快速响应可疑或异常行为。
- 身份验证和访问管理:实施增强的身份验证机制,例如多因素身份验证,以确保只有经过验证的用户和设备才能访问授权的网络资源。执行最小特权原则,仅授予员工执行工作所需的访问权限。
系统化安全运营,全面管控风险
- 持续监控和行为分析:实施实时监控,并使用行为分析技术识别访问网络的用户和设备的异常行为和潜在威胁。
- 动态防御:融合威胁情报、大数据、AI技术,自动发现攻击事件并部署应对措施,持续优化安全策略,动态提升整体安全能力。
采用风险管理, WAAP, 和 零信任 原则可以有效提高防御 LockBit 勒索软件和其他高级持续性威胁 (APT) 的能力。同时,组织不仅应关注技术防御,还应考虑人员和流程,创建有效的运营安全系统。