第84篇：顶级加密勒索组织LockBit的深度剖析与技战法分析（上篇）

 Part1 前言 

大家好，我是ABC_123。在过去的两年中，LockBit加密勒索组织的活动非常频繁，仅在美国他们就成功勒索了高达9100万美元。自2022年初至今，LockBit的运营者宣称已经渗透了全球500多个不同领域的组织，而LockBit 3.0及其变体更是成为了全球关注焦点的加密勒索软件。最近，LockBit组织利用了Citrix Bleed漏洞（CVE-2023-4966）攻击了包括美国波音航空公司和某大型银行在内的多个重要目标，引起了各个行业的广泛关注。鉴于不少网友希望ABC_123介绍一下LockBit加密勒索组织，今天我们就来仔细探讨LockBit加密勒索组织的相关情况。

**注：**LockBit勒索软件使用RSA和AES等加密算法，而在没有解密密钥的情况通常是无法解密的。多年来LockBit从未公开其密钥库。微软曾发现LockBit 2.0版本存在bug，导致在某些特殊情况下可以被解密，例如可以还原Mssql数据库。此外，由于LockBit仅加密文件的前4KB数据，因此部分数据是可以被恢复的。然而，要实现完全解密是不可能的。

 Part2 LockBit发展历史 

首先给大家介绍一下LockBit加密勒索家族在这些年的关键事件。早期的LockBit加密勒索软件因被加密后的文件名以.abcd结尾，所以被称之为ABCD加密勒索软件，后更名为LockBit。

后来LockBit在俄语黑客论坛上发布了RaaS（加密勒索即服务）联盟计划，快速招募了很多附属机构，随着LockBit2.0及数据窃密木马StealBit的发布，开启了LockBit加密勒索组织的飞速发展和扩张，并在2022年初取代Conti加密勒索成为最有影响力的加密勒索软件。

**后续微软公司发现了LockBit2.0存在Bug，不支付赎金仍可解密数据。**LockBit很快发布了3.0版本修复此bug，然后推出了漏洞赏金计划，发现LockBit软件bug的研究人员，可以获取1000美元到100万美元奖金。

后续LockBit又发布了三重加密勒索业务，将DDoS攻击纳入业务范围以内。后续LockBit的研发人员与LockBit运营商出现争执，将LockBit的构建器公布在Github上。新版的LockBit已经开始支持Apple、Linux、FreeBSD等系统。

 Part3 LockBit组织的钻石模型 

在仔细研究了近百篇国外报告后，ABC_123对LockBit加密勒索组织有了一定了解，采用可扩展钻石模型来描述LockBit加密勒索组织。参考这个钻石模型示意图，接下来我们从4个关键因素介绍一下LockBit加密勒索组织。

 1  攻击者（Adversary）

**LockBit介绍：**LockBit 目前由10名核心成员（包括渗透测试人员、洗钱人员、测试人员和谈判人员）和100多家附属机构组成，未来会增加到300家。LockBit的官方博客宣称自己处在荷兰，但是从其攻击目标避开俄罗斯及独联体国家来看，部分研究者也认为其属于俄罗斯。LockBit加密勒索软件的代码与BlackMatter、Conti加密勒索组织有重合之处，怀疑有其它加密勒索组织开发者投靠了LockBit，帮助其提升代码功能。

**运营之路：**从LockBit加密勒索组织的发展史来看，LockBit运营者有着有非常好的生意头脑，这几年一直在细心经营，关注用户对加密勒索软件的使用体验，从竞争对手挖人，逐步把自己打造成最专业最有组织的网络犯罪团伙之一。**LockBit一直宣称自己不关心政治，只关心挣钱，口号更是仿照特朗普总统的话语“让加密勒索再次伟大”。**LockBit的运营商通常只与经验丰富的渗透测试人员合作，尤其是对Metasploit和CobaltStrike使用熟练的人员，LockBit附属机构的任务就是获取对受害者的初始访问权限，自行决定如何去投放LockBit加密勒索软件。

收益分配：一般大家所认为的LockBit攻击者就是LockBit运营商、LockBit的研发团队，实际上LockBit采用的是RaaS（Ransomware-as-a-Service）运营模式，这种模式类似于一种发展下线的商业模式，即LockBit的运营商开发了勒索软件，并将其出租给附属机构，这些附属机构利用LockBit加密勒索软件进行自己的加密勒索活动，并向LockBit运营商支付一定的提成。因此LockBit的攻击者还包括其RaaS服务的购买者，我们称之为LockBit附属机构。LockBit的运营商从这些附属机构所获得的利润中抽取20%的分成，如果附属机构在与受害者进行谈判时需要LockBit组织的额外支持，那么这一分成比例可能增至30-50%。

 2  受害者（Victim）

**受害目标：**LockBit的攻击目标首要就是拥有敏感数据、支付能力强，然后外围存在漏洞的目标，其中美国、欧洲（德国，意大利）等经济发达的国家是其主要攻击目标，此外也包括日本、中东、非洲、拉丁美洲等。其主要针对的行业包括金融行业、基础制造业、批发和零售、建筑业、航空航天、电力、物流等。值得注意的是，LockBit运营商宣称不会对医疗机构、社会服务机构、教育机构、慈善组织和其它“为人类生存做出贡献”的组织进行攻击，但是由于其附属机构很多，这些附属机构往往不会遵守这个规定，仍然攻击医疗保健行业和教育行业，此时LockBit运营商也不会过多追究附属机构的责任。

****近期受害者：****LockBit在最近攻击了美国波音公司、意大利税务局、SpaceX火箭零件供应商、英国皇家邮政、洛杉矶市住房管理局、美国数字安全公司Entrust、曼谷航空公司、加拿大蒙特利尔市电力服务委员会(CSEM)、美国加州财政部、法国电信运营商等等。

影响范围：****在2022年，LockBit占据澳大利亚勒索事件的18%，加拿大的22%，新西兰的23%，美国16%，自 2020 年 1 月 5 日在美国首次观察到 LockBit 活动以来，仅美国一个国家就被勒索了大约9100万美元。

 3  基础设施（Infrastructure）

• LockBit加密勒索软件

LockBit 2.0是一款使用Assembly和Origin C编程语言开发的加密勒索软件，它能够攻击Windows和Linux操作系统。在2021年10月，LockBit运营商发布了一个特别针对VMware ESXI虚拟机环境的Linux版本，这个版本是用C语言编写的。

LockBit组织自称其2.0版本是全球加密速度最快的勒索软件，并且公布了一份比较表来展示不同勒索软件样本的加密速度。根据这份比较表，LockBit 2.0能够在一分钟内加密大约25,000个文件。此外，暗网资料表明，LockBit的加密速率高达每秒373MB，使其在所有勒索软件中位居首位；它能够在大约四分半钟内加密100GB的数据。

LockBit之所以能达到如此高的加密速度，原因在于其加密机制的设计，LockBit仅加密文件的前4KB数据。这种方法降低了加密过程所需处理的数据量，从而显著提升了其加密操作的效率。

• LockBit各版本截图

ABC_123从国外报告中检索到了LockBit的各个版本的样本图，整理总结出来，让大家对LockBit加密勒索软件有一个直观的认识。

LockBit1.0版本加密后截图如下：

早期版本的LockBit加密勒索扩展名以.abcd结尾。

加密勒索的说明文档如下所示：

LockBit2.0版本加密后截图如下：

LockBit2.0加密勒索的扩展名以.lockbit结尾，桌面背景会被替换，文档名为"Restore-My-Files.txt"。

LockBit3.0版本加密后截图如下：

桌面背景会被替换，被加密文件以.HLjkNskoq或19MqzqzOs等随机形式，9位随机字符，留下文档的命名为{9}. README.txt，如QUh2IBhbp.README.txt。

LockBit Green版本加密后截图如下：

被加密的文件名是"1.jpg"到"1.jpg.7ec3rqvr"、"2.doc"到"2.doc.7ec3rqvr"等。

加密勒索的说明文档如下所示：

• StealBit数据窃取木马

在LockBit2.0推出后，LockBit的研发人员同时开发了StealBit数据窃取木马，这是一种多功能且具备高度可配置的用户数据窃取工具，它允许用户自定义多项配置，如网络限制、文件大小上限、通过关键字和文件扩展名进行文件过滤，以及开启自删除功能和探测局域网共享等功能。根据LockBit介绍，StealBit能以高达83.46MB/s的速度上传数据，这意味着它可以在短短19分钟58秒内窃取100GB的数据。LockBit 2.0的运营商还提供了一个数据传输速度的比较表，该表明确显示了StealBit与mega、yandex、pcloud等云文件共享服务商的速度差异。

• Exfiltrator-22后门工具

**工具简介：**Exfiltrator-22是一种新型后利用工具，目标是在企业内部网络部署加密勒索软件，同时逃避安全检测，一些证据表明EX-22可能与LockBit的前附属机构或成员有联系。EX-22于2022年11月份首次出现，在2022年12月初建立了Telegram频道以推销该工具，每月1,000美元，终身会员5,000美元，同时提供持续更新和支持。当会员订阅该工具时，他们会获得一个管理面板权限，该面板允许攻击者远程控制他们部署在受感染设备上的恶意软件。

**功能介绍：**EX-22额外添加了增强勒索软件部署和数据盗窃的功能，同时也拥有其他后门后渗透工具的常见功能，如键盘记录功能、文件上传和下载、反弹shell功能、加密勒索功能、屏幕截图、键盘记录、实时VNC会话、权限提升、权限维持、内网横向移动、LSASS转出提取敏感信息、会话令牌窃取等。

**同源分析：**LockBit 3.0 和 EX-22 的样本使用相同的C2基础设施，并且都使用TOR（洋葱路由项目）混淆插件Meek和域前端来隐藏合法HTTPS连接内的恶意流量到信誉良好的平台。尽管有这些相似之处，LockBit勒索软件团伙在其泄密网站上发帖否认与该工具有任何链接，并声称EX-22是一些新手的公关噱头。

如下图所示，Ex-22 根据有效负载和操作系统选择使用哪种 UAC 绕过方法，攻击者所需要做的就是使用“F&E”命令。

• LockBit管理面板

LockBit勒索软件配备了一个后台管理面板，LockBit运营商的附属机构可以通过这个面板管理受害者和附属帐户、生成新的勒索软件版本、在支付了所需的赎金后生成解密器等。

• LockBit官方博客

下图是LockBit的暗网博客截图，博客中公布了部分受害者名单，名单中涵盖了世界各地的各个被LockBit加密勒索攻击的组织。除了要求支付数据检索费用之外，LockBit的运营商还会提出警告，如果不及时支付赎金，会向公众公开敏感数据。

根据LockBit加密勒索软件的介绍文档，安装洋葱头Tor浏览器，访问暗网地址可以看到LockBit在暗网的官方博客，一旦有受害者中了LockBit加密勒索病毒，并获取了大量数据，受害者的信息及赎金谈判情况就会被公布在LockBit官方博客上面，受害者需要点击相应链接与LockBit运营商进行赎金谈判，如果谈判没法达成一致，LockBit运营商会在指定日期之后，向公众公布其数据的下载地址。

博客上展示了关于受害者的一系列详细信息，包括支付赎金的剩余期限、受害者组织的名称、被窃取数据的总大小、受害者数据公开的截止日期、支付赎金的具体方式以及被盗数据的样本。为了验证真实性，受害者可以联系LockBit的运营商在此Tor网站上免费解密一个文件。与传统的加密勒索软件相比，这种运营方式增加了受害者的紧迫感，通过展示若不支付赎金所面临的严重后果来加大对受害者的心理压力，从而促使其支付赎金。

如果LockBit加密勒索威胁是私下发出的，则这些受害者的名字不会出现在Lockbit的博客上，所以该博客上列出的受害者并不完整，比如2023年末某大型银行的名字，就没有出现在此博客上。

• LockBit与受害者的谈判记录

LockBit的RaaS平台专注于处理赎金支付和新功能开发的相关事务，它允许任何附属机构注册一个帐户并创建自己定制版本的LockBit勒索软件，而附属机构的攻击者可以自行决定如何投放、传播定制版的勒索软件。在受害者页面上，会显示一个“支持”聊天框，这使得能够与攻击者直接通信，勒索软件运营商通常利用这一点与受害者进行谈判，并提供额外的压力。

LockBit勒索软件团伙还公开了与BSI银行谈判相关的聊天记录，LockBit运营商索要2000万美元的赎金。但是最终双方没有达成一致，LockBit最终在暗网公布了BSI银行的客户数据，包括地址数据、姓名、文件信息、银行余额、进行的交易、财务和法律文件等。

以下是LockBit正在与英国皇家邮政索要8000万美元的赎金。

最终谈判并未成功，因为英国皇家邮政董事会并不想为此付款，因为在他们看来，当LockBit从他们系统中获取到这些敏感文件或者数据之后，这些文件就已经泄露了，向LockBit付费并不能撤销这一行为。

 4  能力（Capabilities/TTPs）

**感染能力：**LockBit加密勒索软件可以感染Windows系统、Linux系统、VMware vSphere和ESXI虚拟环境，新版本将影响范围扩展到不同的架构：Apple、Linux、FreeBSD。LockBit加密勒索软件在初始运行前会执行检查，获取系统默认UI语言()、获取用户默认 UILanguage()，避免在CIS独联体国家的计算机系统，或者安装了CIS独联体国家通用语言的计算机上运行，这些独联体国家包括：白俄罗斯、格鲁吉亚、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯、乌兹别克斯坦和乌克兰等国家。此举可能是为了避免一些法律责任，由此推断该加密勒索组织的成员可能与俄罗斯有关。

三重勒索：LockBit的勒索方式是多重的，被称为双重勒索或者是三重勒索，他们会通过StealBit远控木马窃取受害者的敏感数据，然后加密受害者电脑的重要文件，并在LockBit暗网博客上发布威胁信息，以公布该公司的敏感数据迫使受害者支付赎金，迫使受害者支付赎金，这就是双重勒索。除此之外，新版本的Lockbit运营商会对受害者的基础设施及站点进行DDoS攻击，这种被称之为三重勒索。

**DDoS攻击：**2022年8月份，LockBit宣布开展“加密、窃密、DDOS”三重勒索策略，这也是对安全公司 Entrust 事件的报复。在该事件中，Entrust公司使用DDoS攻击了LockBit的运营网站，企图阻止LockBit泄露其敏感数据，这促使LockBit RaaS宣布他们将添加第三种勒索策略，并招募了DDoS人员，以最大程度地对目标受害者产生影响，即不交赎金就打瘫受害者的业务。

DDoS攻击者发送的HTTPS请求在用户代理字符串中也附有相关语句要求删除Entrust的数据。LockBit随后撕票，公开了名为entrust.com的种子文件，其中包含343GB大小的文件。不久之后，LockBit重新开展业务，增加了镜像服务器数量，可以防御DDos攻击。

**漏洞赏金：**微软的安全研究员发现LockBit2.0是存在解密bug的，不支付赎金仍然可以解密，于是LockBit运营商很快发布了LockBit3.0修复了上述bug，然后推出了漏洞赏金计划，鼓励漏洞研究人员发现其Bug，可以获得1000到100万美元的漏洞奖金。2022年LockBit运营商曾经向一名报告加密勒索软件bug的人员提供了5万美元的奖金。

**支付方式：**包括Monero、比特币和Zcash等。和比特币不同，Zcash币更为隐蔽也更难被追踪。

**影响范围：**在2022年，LockBit在Windows平台上占据了勒索软件攻击三分之一份额，大多数攻击发生在工作日，约占总数的78%，而22%发生在周末。根据泄密网站数据及国外报告的分析，LockBit早在2.0版本就已经连续五个月成为最具影响力的RaaS加密勒索运营商，截至5月25日，LockBit 2.0占泄露网站上分享的2022年加密勒索泄露事件的46%。此外，LockBit 2.0 RaaS泄露网站公布的受害者数量最多，总数超过850人。

 Part4 LockBit2.0技战法分析 

由于LockBit加密勒索组织采用RaaS运营模式，估计有上百个附属机构，各个附属机构的攻击手法均有不同。因此，各个安全研究机构捕捉到的LockBit勒索软件攻击，在攻击策略、技术和程序 (TTP) 方面存在显著差异。这种TTP差异给致力于维护网络安全和防范勒索软件威胁的组织带来了显著挑战。

参考国外以往的报告，ABC_123绘制了以下技战法示意图，该图也显示了防御者应该重点关注哪些领域去防御LockBit加密勒索病毒。

LockBit运营商及附属机构会想办法获取受害者的初始访问权限，用来投放加密勒索病毒，攻击手法大致分为以下几种方式：

 1   大范围的漏洞扫描。利用Nday漏洞、1day漏洞、0day漏洞在资产测绘上批量扫描，也就是常说的广撒网形式。

 2   公司内鬼员工。通过金钱贿赂公司内鬼员工，LockBit曾经向提供企业重要访问权限的内部人员，或者点开加密勒索邮件的内鬼人员、或者手动运行病毒程序的内鬼人员支付了多达几百万美金的报酬。

 3   新出的1day漏洞。如飞塔防火墙CVE-2018-13379漏洞，Citrix NetScaler网络设备漏洞，VMware log4j2漏洞，F5代码执行漏洞等。

 4   暗网出售的账号密码。包括VPN、RDP、企业邮箱账号密码。

 5   IAB产业出售的权限。LockBit组织会从IAB攻击者手中购买相应权限。

 6   RDP密码凭证。通过地下购买或者RDP暴力破解方式获取

 7   VPN利用。通过VPN漏洞或者VPN弱口令。

 8   社工钓鱼。在邮件的附件中捆绑后门，同时也有Office的宏处理后门。

 Part5 总结 

1.  对于各种加密勒索组织，犯罪组织不稳定和内部政治是一个长久的隐患，只需一个怀有不满情绪的成员就可以导致整个加密勒索组织的覆灭，Conti就是一个例子，LockBit也曾经遭遇类似的问题。

2.  **未完待续，**关于LockBit技战法的进一步分析，将在ABC_123的下一篇文章展开，敬请期待。

公众号专注于网络安全技术分享，包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等，每周一篇，99%原创，敬请关注。

Contact me: 0day123abc#gmail.com

(replace # with @)