LockBit 5.0 摘要
LockBit 5.0 的 Windows 变种通过 DLL 反射加载其payload,并采用反分析技术,进行了深度的混淆和加壳。其 Linux 变种功能类似,带有命令行选项,可针对特定目录和文件类型。ESXi 变种则专门针对 VMware 虚拟化基础设施,旨在加密虚拟机。
新变种使用随机的 16 个字符作为文件扩展名,会规避俄语系统,并在加密后清除事件日志。
LockBit 5.0 还有一个专门的 ESXi 变种,针对 VMware 的 ESXi 虚拟化基础设施。
Windows、Linux 和 ESXi 变种的存在,证实了 LockBit 持续的跨平台策略,使其能够同时攻击整个企业网络,包括虚拟化环境。所有变种中采用的深度混淆和技术改进,使得 LockBit 5.0 比其前代版本危险得多。
继 2024 年 2 月执法部门展开的“Cronos 行动”对其基础设施造成打击后,趋势科技研究中心 (Trend™ Research) 在野外发现并分析了新版 LockBit[1] 的源二进制文件,这是该组织最新活动[2]的延续。9 月初,据报道[3],LockBit 勒索软件组织在其成立六周年之际卷土重来,并宣布发布“LockBit 5.0”。趋势科技研究中心在野外发现了一个二进制文件并开始分析,初步发现了一个 Windows 变种,并确认了 LockBit 5.0 的 Linux 和 ESXi 变种的存在。
这一最新消息延续了该组织自 2021 年 LockBit 2.0[4] 以来确立的跨平台策略。
趋势科技研究中心的分析发现,其 Windows 二进制文件使用了深度的混淆和加壳:它通过 DLL 反射加载其恶意负载,同时实施了反分析技术,如 ETW补丁和终止安全服务。与此同时,新发现的 Linux 变种保持了类似的功能,带有命令行选项,可用于针对特定目录和文件类型。ESXi 变种则专门针对 VMware 虚拟化环境,旨在通过单次攻击加密整个虚拟机基础设施。
我们的调查还显示,这些新版本具有一些共同的关键行为:使用随机的 16 个字符作为文件扩展名、通过地理位置检查来规避俄语系统,以及在加密后清除事件日志。5.0 版本还与 LockBit 4.0 共享代码特征,包括相同的哈希算法和 API 解析方法,这证实了这是对原始代码库的演进,而非模仿。
LockBit 5.0 Windows 变种分析
LockBit 5.0 的 Windows 版本使用 -h 参数来显示帮助信息;新版本具有更优的用户界面和清晰的格式,这在以前的版本中从未见过。它描述了执行勒索软件的各种选项和设置,包括基本选项(如指定要加密或绕过的目录)、操作模式(如隐身模式和详细模式)、勒索信设置、加密设置、过滤选项以及使用示例。详细的命令和参数展示了攻击者可用的灵活性和定制化能力。
图 1. 帮助命令显示了参数及其各自的用途
表 1 显示了趋势科技研究中心在威胁狩猎分析中观察到的命令行参数及其描述。
| 选项 | 描述 |
|---|---|
| 基本选项 | |
-h | 显示帮助 |
-d | 以分号分隔的待加密目录列表 |
-b | 以分号分隔的待绕过目录列表 |
| 操作模式 | |
-i | 隐身模式(不更改扩展名,不留票据,不更改修改日期) |
-p | 以详细可见模式运行,并在控制台显示状态栏(与 -i 不兼容) |
-v | 以可见模式运行,并输出调试信息 |
| 勒索信设置 | |
-n<0 2=""> | 勒索信模式: |
0: 无 | |
1: 所有位置 | |
2: 仅 C:\\\\ 盘 | |
在使用 -i(隐身模式)时被忽略 | |
| 加密设置 | |
-m | 加密模式: |
all: 加密所有文件 | |
local: 加密本地文件 | |
net: 加密网络文件 | |
启用加密后擦除可用空间 | |
| 过滤 | |
-k | 不删除 .exe 文件 |
-nomutex | 允许多个实例运行 |
| 超时 | |
-t | 设置开始加密前的超时时间(秒) |
表 1. 我们对 LockBit 5.0 Windows 版本分析中的命令行参数摘要。
执行后,勒索软件会生成其标志性的勒索信,并将受害者引向一个专门的数据泄露网站。该基础设施维持了 LockBit 已建立的受害者互动模型,设有一个简化的“与支持人员聊天”部分用于赎金谈判。
图 2. LockBit 5.0 生成的赎金票据
图 3. 勒索信上的链接,受害者访问后会跳转到该泄露网站
图 4. 数据泄露网站在“与支持人员聊天”部分提供了与受害者的直接沟通渠道
加密过程会为文件附加随机的 16 个字符的扩展名,使恢复工作变得复杂。与某些使用常见感染标记的勒索软件变种不同,LockBit 5.0 在文件末尾省略了传统的标记。然而,我们的分析揭示了一致的模式,包括原始文件大小被嵌入在加密文件的页脚。
图 5. LockBit 5.0 加密的文件被附加了独特的、看似随机生成的 16 个字符的扩展名,这使得解密过程复杂化
图 6. 加密文件 A 的末尾部分
图 7. 加密文件 B 的末尾部分
趋势科技研究中心分析的样本通过加壳技术进行了深度混淆。在调试过程中,我们发现它充当一个二进制加载器,在内存中解密一个 PE 二进制文件,并通过 DLL 反射方法加载它。这种复杂的加载机制极大地增加了静态分析的难度。
图 8. 加载器内存中解密的 PE 二进制文件
除此之外,该恶意软件还实施了多种反取证技术。它通过用 0xC3(返回)指令覆盖 EtwEventWrite API 来对其进行修补,从而禁用 Windows 事件跟踪功能。此外,它通过将哈希后的服务名与一个包含 63 个值的硬编码列表进行比较,来终止与安全相关的服务,然后在加密完成后使用 EvtClearLog API 清除所有事件日志。
图 9. 修补 EtwEventWrite 之前
图 10. 修补 EtwEventWrite 之后,恶意软件显示一个 C3 字节,强制其立即返回
它通过对服务名称进行哈希计算并与硬编码列表进行比较,来检查系统上运行的所有服务。名称匹配的服务随后被终止。
FEF56F15, BEC3470B, 9757464D, 88CE6B8E, 826AC445, 83143F70, 8685D050, 493AEE1F, 35BE2F4E, 23FA53E4, FEF56F16, 10D06066, 1370CEA3, E11A285C, DBECA3C2, BEC3470C, C347B317, CA6C4394, 732AA0BF, 60B29D13, 493AEE20, 5E5F1954, 5EF504FC, A49FA5E2, 9757464E, 9A768D62, A1816235, 41278146, 35BE2F4F, 369D7114, 3B6794E3, E7AA4056, E11A285D, E5C9CC93, E66A2C63, 7B39B584, 732AA0C0, 739BF272, 7ABD1404, 88CE6B8F, 9439954E, 9655130F, 23FA53E5, 26336765, 2C1F8E5F, DBECA3C3, DCF04E8C, DEED0E56, 60B29D14, 62C32884, 6337AD82, A49FA5E3, A8F16BAB, BD071334, 41278147, 4292EDD8, 47F1286A, E7AA4057, E7BF305D, F82A288D, 7B39B585, 7F480CF7, 7DD43601
图 11. 使用 EvtClearLog API 清除事件日志
与之前的版本一致,LockBit 5.0 包含地缘政治保护措施,在检测到俄语语言设置或俄罗斯地理位置时会终止执行。这是东欧勒索软件组织中常见的做法。
图 12. 如果语言是俄语,此代码将终止执行
图 13. 如果地理位置是俄罗斯,此代码将终止执行
LockBit 5.0 Linux 变种分析
5.0 版本的 Linux 变种与其 Windows 对手具有相似的功能,展示了 LockBit 对跨平台能力的投入。其命令行界面模仿了 Windows 版本的格式和功能,为攻击者在两个平台上提供相同的操作灵活性。
图 14. LockBit 5.0 Linux 版本的帮助选项显示出相似的格式
在执行期间,Linux 变种会提供其活动的详细日志,显示目标加密文件和指定排除的文件夹。这种操作日志的透明度表明,该变种可用于测试环境或需要详细执行反馈的附属成员。
图 15. 日志活动显示了待加密的文件
图 16. 日志显示了在擦除操作中要跳过的文件夹列表
完成后,勒索软件会生成一份全面的摘要,显示加密文件的总数及其累计大小。与 Windows 版本一样,它对加密文件应用随机扩展名,保持了跨平台加密后文件处理的一致性。
图 17. 摘要显示了加密文件的总数和大小
图 18. 一份具有随机扩展名的加密文件列表
LockBit 5.0 ESXi 变种分析
进一步的调查揭示了 LockBit 5.0 的一个专用 ESXi 变种,专门针对 VMware 虚拟化基础设施。这个变种代表了 LockBit 能力的一次关键升级,因为 ESXi 服务器通常托管多个虚拟机,允许攻击者通过执行单个恶意负载来加密整个虚拟化环境。
ESXi 变种保持了与 Windows 和 Linux 对手相同的命令行界面结构,确保了攻击者在所有平台上的操作一致性。其帮助菜单揭示了为虚拟机加密优化的 ESXi 特定参数,包括针对特定目录和虚拟机配置文件的选项。
图 19. ESXi 变种的帮助命令显示了针对虚拟化的特定参数
这个 ESXi 变种展示了 LockBit 通过攻击虚拟化基础设施来最大化影响的战略重点,因为一个受感染的 ESXi 主机可能导致数十甚至数百个虚拟机被加密,从而极大地放大了攻击对业务中断的潜在影响。
LockBit 4.0 与 LockBit 5.0 对比
对 LockBit 4.0 和 5.0 的比较分析显示,存在大量的代码重用和演进式开发,而不是完全重写。两个版本共享相同的字符串操作哈希算法,这是 API 解析和服务识别的关键组成部分。动态 API 解析的代码结构在两个版本之间非常相似,这表明开发者是在现有的 LockBit 4.0 代码库之上进行构建的。图 20 和图 21 中左侧的截图来自 chuong dong 的博客[5]。
图 20. LockBit 4.0(左图 – 截图来自 chuong dong 的博客)和 LockBit 5.0(右图)字符串哈希算法的相似之处
图 21. LockBit 4.0(左图 – 截图来自博客)和 LockBit 5.0(右图)的动态 API 解析
趋势科技研究中心认为,这些相似之处清楚地表明,LockBit 5.0 是 LockBit 勒索软件家族的延续,而不是其他威胁行为者的模仿或品牌重塑。在保留核心功能的同时增加新的规避技术,展示了该组织对其勒索软件平台进行增量改进的策略。
结论
Windows、Linux 和 ESXi 变种的存在证实了 LockBit 持续的跨平台策略。这使其能够同时攻击整个企业网络,从工作站到托管数据库和虚拟化平台的关键服务器,其中 ESXi 变种旨在瘫痪整个虚拟基础设施。这些新变种中广泛使用的深度混淆技术显著延迟了检测特征的开发,而包括移除感染标记、更快的加密速度和增强的规避技术在内的技术改进,使得 LockBit 5.0 比其前代版本危险得多。
LockBit 是最臭名昭著的勒索即服务 (RaaS) 组织之一,通过其技术和战术的积极演进,始终领先于竞争对手。尽管有“Cronos 行动”,但该组织背后的犯罪分子表现出了韧性,现在已确认了 5.0 版本的所有三个变种。组织必须确保部署全面的跨平台防御措施,并特别注意保护虚拟化基础设施。LockBit 5.0 的 Windows、Linux 和 ESXi 变种再次强调,在现代勒索软件活动面前,没有任何操作系统或平台可以被认为是安全的。
降低 LockBit 5.0 的风险
强烈建议各组织通过主动开展针对特定组织工具、战术和程序的威胁狩猎活动,来评估和加强其安全态势。加强端点和网络防护,以及尽早检测旨在破坏安全解决方案的防御规避技术至关重要。
狩猎查询
Trend Vision One Search App
Trend Vision One 客户可以使用 Search App 将本博客文章中提到的恶意指标与其环境中的数据进行匹配或搜寻。
LockBit 使用 16 个字符扩展名重命名文件
eventSubId: 106 AND objectFilePath: /\\\\.[a-f0-9]{16}$/ AND NOT srcFilePath: /.+\\\\.[a-f0-9]{16}$/
LockBit 5 赎金信 — ReadMeForDecrypt.txt
eventSubId: 101 AND objectFilePath: ReadMeForDecrypt.txt
IOC
新的 LockBit 5.0 针对多个平台,包含 Windows 和 Linux 变种
| SHA256 | 检测名称 |
|---|---|
7ea5afbc166c4e23498aa9747be81ceaf8dad90b8daa07a6e4644dc7c2277b82 | Ransom.Win64.LOCKBIT.YXFIOZ |
180e93a091f8ab584a827da92c560c78f468c45f2539f73ab2deb308fb837b38 | Ransom.Win64.LOCKBIT.YXFIOZ |
4dc06ecee904b9165fa699b026045c1b6408cc7061df3d2a7bc2b7b4f0879f4d | Ransom.Linux.LOCKBIT.THIBCBD |
90b06f07eb75045ea3d4ba6577afc9b58078eafeb2cdd417e2a88d7ccf0c0273 | Ransom.Linux.LOCKBIT.THIBCBD |
98d8c7870c8e99ca6c8c25bb9ef79f71c25912fbb65698a9a6f22709b8ad34b6 | Ransom.Linux.LOCKBIT.THIBEBD |
原文链接
New LockBit 5.0 Targets Windows, Linux, ESXi :https://www.trendmicro.com/en_us/research/25/i/lockbit-5-targets-windows-linux-esxi.html
参考资料
[1] LockBit: https://www.trendmicro.com/vinfo/ph/security/news/ransomware-spotlight/ransomware-spotlight-lockbit
[2] 最新活动: https://x.com/TrendMicroRSRCH/status/1868861177041744209
[3] 报道: https://dailydarkweb.net/lockbit-ransomware-group-unveils-version-5-0-on-its-sixth-anniversary/
[4] 2021 年 LockBit 2.0: https://www.trendmicro.com/en_us/research/22/a/analysis-and-Impact-of-lockbit-ransomwares-first-linux-and-vmware-esxi-variant.html
[5] chuong dong 的博客: https://www.chuongdong.com/reverse%20engineering/2025/03/15/Lockbit4Ransomware/
声明:本文来自玄月调查小组,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
