追踪LockBit勒索团伙用于数据窃取的基础设施

背景如今,勒索软件运营商已经熟练掌握双重勒索技术。不时就会观察到许多攻击者以不同的方式窃取数据,其中一些预先提供依赖于 RClone、FTP 站点等合法服务和工具、一些通过 VPN 窃密,但也有其他攻击者使用定制的工具。

背景

如今,勒索软件运营商已经熟练掌握双重勒索技术。不时就会观察到许多攻击者以不同的方式窃取数据,其中一些预先提供依赖于 RClone、FTP 站点等合法服务和工具、一些通过 VPN 窃密,但也有其他攻击者使用定制的工具。

LockBit 攻击团伙开发了一种专门用于数据泄露的定制工具,并将其用作树立其犯罪品牌的标杆。事实上,StealBit 2.0 工具是该攻击团伙开发的工具集的一部分,以克服大规模数据窃取的难点。

了解该工具背后的运作机制和基础设施是特别有价值的。在分析了最新版本的 StealBit 后,跟踪了该工具滥用的攻击基础设施。

技术分析

哈希

3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

文件大小

52.7KB

ssdeep

768:FXPkQ2Csnwhxvfhko88yb6cvXbhb7vJawOuArU1o/xnmGP:YLqvZko9ybpvrtvJa/uArU+5nNP

描述

LockBit 攻击团伙采用的数据渗漏程序

该样本缺少元数据字段,只能获得位数、入口点和编译时间戳。

追踪LockBit勒索团伙用于数据窃取的基础设施

该样本没有能生成导入表哈希,并不是工具错误,而是样本的导入表完全是空的,没有导入任何 Windows API。

反调试

即使不调用系统 API 也不影响开发者保护代码。StealBit 在入口点后就会进行反分析。

追踪LockBit勒索团伙用于数据窃取的基础设施

这是一种常见的反调试技术,对进程环境块(PEB)中特定标志位(NtGlobalFlags)进行检查:

mov eax, fs:[30h] ; Load the PEB data structure mov eax, eax+68h ; Load the value of the “NtGlobalFlags” flag 

如果标示为 0x70则表示该进程被调试,样本会陷入相同的指令循环对抗分析。

动态加载

样本需要加载其他库来执行恶意行为,即使不存在 IAT 也会加载三个基本的 DLL 文件:

追踪LockBit勒索团伙用于数据窃取的基础设施

为了加载其余系统 API,StealBit 隐藏了本机 DLL 名称以导入栈中。这意味着需要加载的 DLL 文件的名称一次一个字符被写入栈中,然后弹出重新构建所需字符串。

追踪LockBit勒索团伙用于数据窃取的基础设施

上图为 ws2_32.dll,是用于网络通信的库文件。加载的其他字符串如下所示:

追踪LockBit勒索团伙用于数据窃取的基础设施

样本在分析中大量使用了栈字符串混淆技术对抗分析。

数据泄露

当 C&C 服务器成功连接时,会启动数据外带任务。通过 HTTP 的 PUT方法执行,尽可能快的将数据外带。

追踪LockBit勒索团伙用于数据窃取的基础设施

主要的字段如下所示:

构建的请求如下所示:

追踪LockBit勒索团伙用于数据窃取的基础设施

抛开 LockBit 的宣传,StealBit 工具实际上并没有对文件进行压缩。事实上,除了系统文件、注册表项、脚本和特定扩展名(如 .cmd、.msi、.ocx、.cpl、.hta、.lnk、.exe)的文件外,恶意软件会选择性地上传文件。

配置提取

恶意软件的静态配置信息被加密保护:

追踪LockBit勒索团伙用于数据窃取的基础设施

攻击者使用巧妙的算法来解密 StealBit 的配置,读取长为 8 个字节的密钥来解码从偏移量 0x40E250开始的数据。所有的 124个字节都被解码时,循环结束。

解密前后如下所示:

追踪LockBit勒索团伙用于数据窃取的基础设施

配置包括一个五字符的 ID,用来标识受害者,另一部分是数据渗漏的 IP 地址。

其他样本

通过 Yara 规则狩猎其他样本,如下所示:

样本

2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66

4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0

07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae

3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e

ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2

107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636

样本完全是相似的:

追踪LockBit勒索团伙用于数据窃取的基础设施

提取的配置如下所示:

哈希

编译时间戳

ID

IP地址

07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae

2021-07-12 04:58:17

84AFC

93.190.143.101 139.60.160.200 193.162.143.218 193.38.235.234 45.227.255.190

107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636

2021-07-31 07:09:59

J29EV

93.190.139.223 168.100.11.72 139.60.160.200 193.38.235.234 174.138.62.35

2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66

2021-07-31 07:09:59

D26VN

174.138.62.35 93.190.143.101 139.60.160.200 193.38.235.234 193.162.143.218

3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d

2021-07-31 07:09:59

LCPA0

88.80.147.102 168.100.11.72 139.60.160.200 193.38.235.234 174.138.62.35

4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0

2021-07-12 04:58:17

4ATGY

139.60.160.200 193.38.235.234 193.162.143.218 45.227.255.190 185.215.113.39

bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e

2021-07-31 07:09:59

D26VN

174.138.62.35 93.190.143.101 139.60.160.200 193.38.235.234 193.162.143.218

ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2

2021-07-12 04:58:17

84AFC

93.190.143.101 139.60.160.200 193.162.143.218 193.38.235.234 45.227.255.190

攻击基础设施分析

不同的攻击行动间的关系并不明确,但是这些恶意 IP 地址也发现了相关的攻击行动。

IP

计数

Whois

发现

139.60.160.200

7

HOSTKEY-USA US

168.100.11.72

2

BLNETWORKS-01 US

2021年8月针对意大利银行的钓鱼

174.138.62.35

4

DIGITALOCEAN-174-138-0-0 US

185.215.113.39

1

SC-ELITETEAM-20201113 SC

2021年2月移动恶意软件传播

193.162.143.218

5

FirstByte RU

193.38.235.234

7

VDSINA-NET RU

2021年8月,RDP名为 WIN-R84DEUE96RB 和 WIN-5ODCFIGQRP3

45.227.255.190

3

Okpay Investment Company PA-OICO-LACNIC

2021年4月扫描/攻击MongoDB

88.80.147.102

1

BelCloud-net BG

93.190.143.101

4

WORLDSTREAM NL

2020年发送垃圾邮件

93.190.139.223

1

WORLDSTREAM NL

结论

LockBit 已经成为最活跃的攻击团伙之一,StealBit 等数据窃取工具将会为公司带来更多威胁。

IOC

Yara

内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/92869.html

(0)

相关推荐

  • 8岁男童频繁挖鼻孔,竟致细菌性脑膜炎!大人小孩都要注意

    深圳一名8岁男童轩轩平时喜欢挖鼻孔,有时候还会挖的流鼻血。一开始家里人并没有在意,因为孩子原本就有过敏性鼻炎,流鼻血可能是天气变化导致的。

    生活 2021年10月4日
  • 2020年中国城区高质量发展水平百强榜(全国城市2021最新排名)

    正文:任泽平队 特别感谢:白雪松和张硕 香港大学的谢、复旦大学的王北宁、同济大学的史毅参与了本文的数据整理工作。 导读 为什么要高质量发展?改革开放以来,我国经济快速增长,但经济结...

    生活 2021年12月24日
  • 美帝的娱乐科学家:马斯克

    这两年上网偶尔看到别人在说马斯克的神话,不知道这人是干什么。上网一搜索,特斯拉电动汽车,个人发射火箭到火星并且火箭们回收返回。这哪是个科学家,就是个神经病。电动汽车新鲜不新鲜?从节约能源上来说,是新鲜,但是,从技术上来说,不新鲜,电动摩托车普通民众都用旧了,电动汽车为什么不能普及。因为用起来不方面,充电设施普通城市小区居民都不具备。公共设施充电装置,影响工作效率。虽然从节约能源来说,有好的一面。但是,从利用价值来说,现有不成熟的技术不适合城市化人口庞大群居的中国发展,适合中国偏远农村和美帝分散的乡村城市。

    科技 2021年12月3日
  • 智敏高!朱绍兴、傅鹏博、谢志宇、刘,以及许多顶级基金经理在这一年里都红了。

    中国基金报记者张燕北 2021年板块快速轮动,市场偏向于中小风格,导致一批顶流基金经理年内回报率较低,管理的产品前三季度业绩亏损。 四季度开始以来,a股市场新能源、周期股、大消费依...

    生活 2021年11月26日
  • 十几万的奥迪这韭菜割不割?

    2021年9月份,因为用车需求,我和我家先生开始去各品牌4S店看车。因为家里有一辆燃油车,这次我更倾向于新能源。主要用于我上下班和接送孩子,每天不到20公里。本身在电和油有一点分歧老公,因为我的坚持只好改选电车。对于今年蹭蹭上涨的油价,和疫情冲击下单位越来来压缩的工资。我觉得电车真的是不错的选择。

    科技 2021年11月1日
  • 鼻子干痒不适,揉按这些穴位可缓解

    入秋后,不少人会出现咽干舌燥、唇干口渴,最明显的就是早上起来的鼻子干痒不适,其实这就是典型的“秋燥”。秋季是收藏的季节,我们人体内的湿气也会随之收藏,导致体内缺水的状态,也就是所谓...

    生活 2021年9月28日