无法想象！Lockbit杀手锏“三重勒索”，让你的数据宛如囊中之物？

2022年全球勒索软件榜首当属LockBit。

LockBit是2022年全球最活跃的勒索软件组织，自2019年底首次出现以来已经收获了超过1亿美元的赎金，并成为圈内首个针对自身安全漏洞推出赏金计划的黑客团伙。LockBit曾攻击加利福尼亚州财政部，窃取了超过114,000个文件夹和246,000个文件，共计75.3GB的数据。

网络安全公司Malwarebytes公布的报告显示，LockBit在Windows平台上占据了2022年的勒索软件攻击三分之一份额，比其竞争对手的总和还要多。该组织已经攻击了1000多个受害者，是老牌勒索软件组织Conti的两倍以上，Revil的五倍有余。LockBit的攻击范围遍及北美、欧洲和亚太地区，尤其青睐信息技术、制造、政府、网络安全和国防等关键基础设施行业。

LockBit勒索团伙也被称为Bitwise Spider，起源于俄罗斯，最初于2019年9月被发现，最开始被称之为“ABCD病毒”，因为它加密后的文件名后缀为.abcd。LockBit开发团队于2020年初推出了RaaS联盟计划，通过地下论坛招募发起攻击的加盟团伙，加盟最多可以分配获得 3/4 的赎金。后来传闻因为分赃不均，有团伙成员把部分勒索软件生成器泄露在了Twitter上，这是后话。

经过不断的演变，2021年6月，LockBit以LockBit 2.0的新面貌展现在公众面前，也许是嫌之前加密后的文件扩展名.abcd不够高大上，新版本加密后的文件均改为.LockBit后缀。LockBit勒索团伙号称LockBit 2.0是全世界加密速度最快的勒索软件，一分钟内大约可以加密25,000个文件。其加入的磁盘卷影和日志文件删除等新功能，使得加密后的文件更难恢复。此外，LockBit 2.0推出了专用窃密木马StealBit，该工具可将获得的数据直接上传到LockBit的服务器，以对受害者进行双重勒索攻击。其窃取速度极快，20分钟可窃取100GB数据。可谓是锁的快，偷的快。

2022年3月，微软公司发现LockBit2.0存在代码缺陷，可以在不支付赎金的情况下实现文件解密。仅仅3个月后，LockBit勒索软件再次完成升级，推出LockBit 3.0。该版本自命名为“LockBit Black”，在代码上与BlackMatter勒索软件有相似之处，据传前BlackMatter的开发者参与了最新的LockBit病毒的编写。LockBit 3.0的加密文件扩展名也变化为“HLJkNskoq”或“19MqzqzOs”等随机形式。

推出仅2个多月的时间，就在其网站上公布了二百多个受害者，可见其攻击频率之高。此外LockBit在暗网上推出了三个网站，分别是该组织的官方博客网站、展示入侵证据的文件网站、与受害者交流的聊天网站，并为这些网站设置了数十个官方镜像，网站界面豪华炫丽。同时增加了Zcash加密货币支付手段，和比特币相比更加难以追踪。随着LockBit 3.0版本的发布，该团伙还发布了一个漏洞赏金计划， 向全世界提供LockBit网站以及软件缺陷的人员提供1000至100万美元的奖励。

2022年8月，LockBit在其数据泄露网站上公布了安全公司“Entrust”的数据，随后LockBit的运营网站因遭受到了DDoS攻击而导致停止运行，DDoS攻击者发送的HTTPS请求在用户代理字符串中也附有相关语句要求删除Entrust的数据。LockBit随后撕票，公开了名为entrust.com的种子文件，其中包含343GB大小的文件。不久之后，LockBit重新开展业务，增加了镜像服务器数量，可以防御DDos攻击，并且开始招募DDoS选手，开展“加密、窃密、DDOS”的三重勒索。

2022年9月，LockBit3.0加密器的部分组件被@ali_qushji和@protonleaks1这两个帐号（疑似同一人）泄露在Twitter上，2023年1月，LockBit又一次推出了新的变种，名为“LockBit Green”。更新的加密器是基于Conti泄露的源代码修改而来，算是取其精华。新版本增加了攻击VMware ESXi虚拟机的新功能。

▲LockBit Green与Conti源码重合

1、目标选择

目标国家遍及北美、欧洲和亚太地区。通过系统用户使用语言检测避过独立国家联合体（CIS）地区国家。

2、初始入侵

主要使用钓鱼邮件攻击方式传播，冒充受信任的个人或权威机构诱导受害者点击链接或者附件。一种是使用包含恶意VBA宏的Word文档文件，VBA宏运行PowerShell命令下载和运行恶意代码，另一种是直接使用采取PDF或者Word文件图标伪装的可执行程序。

其次，从地下论坛购买泄露的RDP登陆账号或者VPN账户，或者通过暴力破解RDP账户或内部服务器的方式直接远程登录目标用户系统。

再者，借助大规模的漏洞扫描行动定位潜在目标，利用流行的应用程序漏洞（例如最常被利用的Fortinet VPN的CVE-2018-13379 漏洞）提升权限后获取初始感染机会。

3、UAC绕过

LockBit通过NtQueryInformationToken判断当前进程令牌是否具备管理员权限。此后，它调用CreateWellKnownSid创建一个与管理员组匹配的用户安全标识符（SID）。最后，它通过调用CheckTokenMembership来检查当前进程特权是否足以实现管理员权限。如果没有则进行提权，通过修改PEB结构的ImageFile和CommandLine，让系统误认为它是C:\\windows\explorer.exe可信进程，然后使用COM接口进行UAC Bypass提升权限，绕过Windows用户账户控制。

4、反分析

在入口点函数的开始，LockBit检查进程控制块(PEB)中的NtGlobalFlag字段，以检测恶意软件进程是否正在调试。如果字段0x70，这表明设置了标记

FLG_HEAP_ENABLE_TAIL_CHECK

FLG_HEAP_ENABLE_FREE_CHECK

FLG_HEAP_VALIDATE_PARAMETERS

程序会立即退出。

可执行文件对大多数重要字符串都进行了混淆并存储在栈中，在程序的运行过程中使用加减异或等运算进行动态解码，以某个字符串为例：

5、持久化

在开始加密之前，LockBit在注册表

SOFTWARE\Microsoft\Windows\CurrentVersion\Run

位置注册启动项，以防止在加密过程中被系统重启打断。对系统所有目标文件加密完成之后，会删除该启动项。

6、三重勒索

LockBit加密方式依旧采用常见的RSA+AES组合。运行后会为用户生成一对RSA-2048公私钥，然后使用内置于程序中的攻击者RSA-2048公钥对用户私钥进行加密

调用RegSetValueExW

写入注册表HKCU\SoftWare\LockBit\full

而未被加密的用户公钥则会被写入到HKCU\SoftWare\LockBit\Public。如果LockBit由于某些原因中止重启，将直接从两个注册表中读取密钥数据，从而保证每台机器仅一对密钥。这样可以保证，如果没有攻击者的私钥，就无法解密受害者的私钥。

执行加密前，LockBit使用微软Cmd删除硬盘卷影备份和禁用Windows恢复功能，使受害者无法恢复文件。并删除各种系统和安全日志。

然后，恶意软件收集系统信息，如主机名、域信息、本地驱动器配置、远程共享和装载的存储设备，然后将开始加密它可以访问的本地和远程设备上的所有数据。但是会跳过会影响操作系统运行的文件不进行加密。加密时使用多线程，每次仅加密每个文件的前4KB。根据在暗网上的资料显示，LockBit以每秒373M的速度位列所有勒索病毒的第一名，加密100GB的文件仅需要4分半钟。

最后，它通过改变用户的桌面墙纸，提供如何联系攻击者的信息，从而发出一张勒索信。

LockBit 3.0的勒索信不再名为Restore-My-Files.txt

而是一个名为“ [random_string].README.txt ”的随机动态文本，加密扩展名也变化为“HLJkNskoq”或“19MqzqzOs”等随机形式。

除了加密数据之外，LockBit还开发了StealBit工具配合使用，该工具将加密前的数据直接上传到LockBit的服务器，实现“双重勒索”，先在网站上泄露一小部分窃取的数据作为威胁，如不支付赎金，就会公开所有的企业机密数据。据LockBit描述，StealBit窃密工具速度可达到83.46MB/S，窃取100G的文件用时只需要19分钟58秒。

去年招募DDoS选手之后，LockBit准备将DDoS作为新增的“第三重”勒索手段，不给钱也可以打瘫你的业务。

7、深入渗透

在获得对网络的初始访问后，LockBit部署了各种工具在内网中横向渗透。这些工具包括Mimikatz等用于收集登陆凭据；利用Process Hacker和PC Hunter等合法工具来终止受害系统中的安全防护进程和服务；扫描网络135端口及445端口以进行横向移动，端口 135 用于 RPC 客户端-服务器通信，端口445用于身份验证和文件共享，LockBit使用收集的登陆凭据，使用免杀的微软PsExec工具通过Windows共享服务获得远程系统的控制权，传播自身到其他系统。

如果LockBit渗透到域控制器上，它调用GetComputerNameW函数来得到运行它的本地计算机的NetBIOS名称。然后，LockBit调用NetGetDCName函数检索主域服务器的名称，并调用lstrcmpiW将本地PC名称与该DC名称进行比较。通过在域控制器上创建组策略并将其更新到其他设备上以感染整个组织网络，关闭Windows Defender，释放恶意软件来加密和窃取大量的文件。