【成功案例】RDP暴露引发的蝴蝶效应

0.前言

LockBit 已成为全球网络安全领域的重大威胁，对包括全球医院和企业在内的关键基础设施发起了一系列严重的勒索软件攻击。该组织的勒索病毒对受害者的数据进行加密，使其无法访问，然后要求支付巨额赎金进行解密。

LockBit 3.0是LockBit勒索软件家族的最新版本，它在网络安全威胁中占据重要地位。以下是对LockBit 3.0的历史发展和目前现状的详细介绍：

1. LockBit初版（2019年）

• 首次出现：LockBit首次在2019年被发现，当时它被称为“ABCD”勒索软件。其设计目标是通过快速加密受害者的文件来勒索赎金。
• 传播方式：主要通过钓鱼邮件和利用漏洞进行传播。其主要特征是高效的加密机制和快速的传播速度。

2. LockBit 2.0（2020年）

• 改进特性：2020年，LockBit 2.0发布，增加了自动化攻击功能，使其能够更有效地在网络中横向传播。
• 双重勒索策略：开始采用双重勒索策略，不仅加密数据，还窃取敏感信息并威胁公开，增加了受害者支付赎金的压力。

3. LockBit 3.0（2022年）

• 进一步增强：LockBit 3.0引入了更多反检测技术，如代码混淆和反虚拟化检测，增强了逃避安全检测的能力。
• 勒索软件即服务（RaaS）：LockBit 3.0作为RaaS平台，允许更多网络犯罪分子（称为附属者）使用其勒索软件进行攻击，并分享赎金收入。平台运营者和附属者之间按比例分配赎金。

总的来说，LockBit 3.0仍然是全球范围内最活跃的勒索软件之一，针对各类组织进行攻击，包括企业、政府机构、医疗机构和教育机构；作为RaaS平台，LockBit 3.0吸引了大量附属者，他们通过使用LockBit的勒索软件进行攻击，并将赎金与平台运营者共享。这种模式使得LockBit 3.0在黑市中非常受欢迎。

正因LockBit团伙的猖狂，全球各国执法机构加大了对勒索软件的打击力度，多次成功捣毁了该勒索软件团伙，并抓捕了相关犯罪分子。在 2024 年 5 月 7 日星期二，通过其中一个被查获的域名披露了该组织领导人的身份，该领导人现在被确定为 Dmitry Yuryevich Khoroshev或 LockBitSupp。美国国务院还宣布，对任何导致Khoroshev被捕的信息，悬赏高达1000万美元。

1.背景

2024年5月3日，某金属制造公司的服务器遭受了勒索软件攻击，随后向我司寻求帮助进行恢复。经过我司溯源排查，判断黑客通过Mimikatz、MSF等渗透工具进行信息打点和漏洞探测，通过永恒之蓝漏洞获取客户公司服务器权限，并横向控制10余台服务器，最终植入病毒，致使客户服务器数据无法读取，导致多个重要系统被锁无法使用。

经分析，确认该病毒家族为Lockbit，加密之后的文件后缀为.igf3kDl7oz。我司数据恢复专家通过多种数据恢复手段成功将文件全部恢复，经负责人确认恢复文件内容无误。

在2024年5月3日至2024年5月8日期间，我司组织了18人次的应急响应团队，为客户受害服务器提供数据备份、溯源分析、漏洞修复、网络排查、渗透测试、安全加固等多项工作。同时，公司网络安全实验室的多位安全专家参与了病毒的逆向分析、日志溯源分析和数据恢复工作，运维专家根据目前现场运维环境及网络架构提出了针对性的安全建设意见。整体圆满完成各项任务，达到客户要求指标。

2.溯源分析

本次溯源内容涉及客户信息，均已修改IP及服务器名称。

2.1 受灾情况统计

2024年5月4日，Solar应急响应团队到达该集团现场，对受灾服务器进行断网并排查，最终排查情况如下：

统计出的被加密服务器情况：

表中数据已脱敏，仅作示例参考

2.2 海康监控溯源

通过对海康监控服务器日志分析发现 198.11.22.13于2024/4/17 13:24:16被境外恶意IP 94.232.46.250 登录。

图1 海康监控被远程登录

2.3 确定跳板机

通过对 198.11.22.2 等服务器日志分析过程中发现大部分服务器在被勒索前被 198.11.22.8 于2024/4/16晚~2024/4/17凌晨登录过。

图2 被198.11.22.8远程登录

于是对198.11.22.8进行着重分析，在 198.11.22.8上发现了攻击者使用的工具，包括扫描器net64.exe、漏洞攻击框架Metasploit Framework、加密器、凭证窃取工具 mimikatz。

图3 扫描器

Metasploit Framework(MSF)是一款开源安全漏洞检测工具，附带数千个已知的软件漏洞，并保持持续更新。Metasploit可以用来信息收集、漏洞探测、漏洞利用等渗透测试的全流程。

图4 漏洞攻击框架 MSF

图5 加密器

Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具，本意是用来个人测试，但由于其功能强大，能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试，可以说是渗透必备工具。

图6 mimikatz

攻击者将 198.11.22.8作为跳板，使用 mimikatz 窃取其凭据，并通过窃取到的密码、变形密码、Hash 、服务器上的相关文件内的密码等对内网其他服务器进行撞库攻击，成功登录10余台服务器。

通过对198.11.22.8工具使用记录进行分析，发现 198.11.22.8通过 Metasploit Framework 对198.11.22.9、198.11.22.10、198.11.22.6、198.11.22.5 进行了永恒之蓝攻击，进而实施加密勒索

图7 MSF 历史记录

2.4 追溯198.188.0.8的上层控制节点

追溯198.11.22.8的上层控制节点通过对198.11.22.8服务器日志进行分析，在恶意文件创建前，198.11.22.8 曾被 198.11.22.99登录过。

198.11.22.99 在 2024-04-16 08:42:00 登录 198.11.22.8 ，登录ID为 0xEAF65

图8 198.11.22.99 登录 198.11.22.8

在 2024-04-16 16:27:08 ，198.11.22.99 再次登录 198.11.22.8

图9 198.11.22.99 登录 198.11.22.8

2024-04-16 16:47:18 在 198.11.22.8 上被创建新用户 admin 并启用，创建用户时的事件对应的登录ID 为 0xEAF65，即 198.11.22.99 登录获得的登录ID。

图10 198.11.22.8 被添加新用户 admin

图11 启用 admin 用户

2024-04-16 18:45 在 198.11.22.8上出现 mimikatz 等工具的快捷方式。

图12 mimikatz 快捷方式

因此 198.11.22.8 被 198.11.22.99 控制并进行了一系列操作，同时 198.11.22.99 是一台 Window 7 SP1 的运维终端，其RDP服务器映射到了公网，因此 198.11.22.99 是 198.11.22.8 的上一级控制节点

2.5 分析入口点

通过对 198.11.22.99 进行分析，发现 198.11.22.99 上存在大量破解软件，通过杀毒程序进行扫描，发现大量病毒。

图13 198.11.22.99 病毒扫描结果 1

图14 198.11.22.99 病毒扫描结果 2

通过对 systeminfo 中补丁信息进行分析，发现其对公网开放的RDP服务存在 bluekeep 漏洞，即 CVE-2019-0708 ，该漏洞部分 PoC 不稳定，稳定 PoC 可直接达到远程代码执行的效果。通过对日志进行分析，发现RDP服务一直被持续地暴力破解，并在 2024/4/11 10:10:17 曾被境外IP 91.240.118.211成功登陆。

图15 198.11.22.99 被境外IP登录

因此推测 198.11.22.99 为攻击者的入口点。

2.6 详细攻击路径

攻击者疑似自2022年始至2024年4月17日，对运维机进行了长期的RDP暴力破解攻击。于2024/4/11 10:10:17被境外IP 91.240.118.211成功登陆，该IP被研判为恶意地址。运维机于2024/4/16 16:27:08异常登录了泛微服务器，并在登录成功后创建了admin用户，随后分别登录了admin和Administrator用户，且在这两个用户目录之中上传了MSF控制程序、扫描器、加密器文件。于16日晚至17日凌晨（16日晚21:10至17日2:57），通过远程登录了10余台其他服务器，并通过永恒之蓝漏洞利用明源服务器、用友服务器、DNS服务器、vencter服务器，黑客在登录或利用成功后的短时间内开始文件加密。加密最早于2024/4/16 22:36开始，最晚于2024/4/17 5:00结束。

图16 攻击流程图

3.恶意文件分析

3.1 基础信息

3.2 勒索信

~~ LockBit 3.0 the world's fastest and most stable ransomware from 2019~~~
>>>>> Your data is stolen and encrypted.
BLOG Tor Browser Links:
http://lockbit3753ekiocyo5epmpy6klmejchjtzddoekjlnt6mu3qh4de2id.onion/
http://lockbit3g3ohd3katajf6zaehxz4h4cnhmz5t735zpltywhwpc6oy3id.onion/
http://lockbit3olp7oetlc4tl5zydnoluphh7fvdt5oa6arcp2757r7xkutid.onion/
http://lockbit435xk3ki62yun7z5nhwz6jyjdp2c64j5vge536if2eny3gtid.onion/
http://lockbit4lahhluquhoka3t4spqym2m3dhe66d6lr337glmnlgg2nndad.onion/
http://lockbit6knrauo3qafoksvl742vieqbujxw7rd6ofzdtapjb4rrawqad.onion/
http://lockbit7ouvrsdgtojeoj5hvu6bljqtghitekwpdy3b6y62ixtsu5jqd.onion/
>>>>> What guarantee is there that we won't cheat you?
We are the oldest ransomware affiliate program on the planet, nothing is more important than our reputation. We are not a politically motivated group and we want nothing more than money. If you pay, we will fulfill all the terms we agree on during the negotiation process. Treat this situation simply as a paid training session for your system administrators, because it was the misconfiguration of your corporate network that allowed us to attack you. Our pentesting services should be paid for the same way you pay your system administrators salaries. You can get more information about us on Ilon Musk's Twitter https://twitter.com/hashtag/lockbit?f=live
>>>>> You need to contact us on TOR darknet sites with your personal ID
Download and install Tor Browser https://www.torproject.org/
Write to the chat room and wait for an answer, we'll guarantee a response from us. If you need a unique ID for correspondence with us that no one will know about, ask it in the chat, we will generate a secret chat for you and give you his ID via private one-time memos service, no one can find out this ID but you. Sometimes you will have to wait some time for our reply, this is because we have a lot of work and we attack hundreds of companies around the world.
Tor Browser personal link for CHAT available only to you (available during a ddos attack):
http://lockbit74beza5z3e3so7qmjnvlgoemscp7wtp33xo7xv7f7xtlqbkqd.onion
Tor Browser Links for CHAT (sometimes unavailable due to ddos attacks):
http://lockbit5eevg7vec4vwwtzgkl4kulap6oxbic2ye4mnmlq6njnpc47qd.onion
http://lockbit74beza5z3e3so7qmjnvlgoemscp7wtp33xo7xv7f7xtlqbkqd.onion
http://lockbit75naln4yj44rg6ez6vjmdcrt7up4kxmmmuvilcg4ak3zihxid.onion
http://lockbit7a2g6ve7etbcy6iyizjnuleffz4szgmxaawcbfauluavi5jqd.onion
http://lockbitaa46gwjck2xzmi2xops6x4x3aqn6ez7yntitero2k7ae6yoyd.onion
http://lockbitb42tkml3ipianjbs6e33vhcshb7oxm2stubfvdzn3y2yqgbad.onion
http://lockbitcuo23q7qrymbk6dsp2sadltspjvjxgcyp4elbnbr6tcnwq7qd.onion
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>> Your personal Black ID: <<
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
>>>>> Warning! Do not delete or modify encrypted files, it will lead to problems with decryption of files!
>>>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.

3.3 程序分析

3.3.1 威胁分析

3.3.2 文件结构分析

通过分析软件，可以看到入口点未被识别，说明存在加壳或混淆。

3.3.2.1 nullsub_1

第一个函数是简单的retn,可能为了迷惑沙箱。

3.3.2.2 sub_bf8214

第二个函数主要是加载所需的模块,使用hash比对的方法加载模块,获取api地址,混淆api的调用,使得无法直接分析获得api地址。

getfuncaddr函数中,先递归获取ldrloaddll(等同于loadlibrary)和LdrGetProcedureAddress(等同于GetProcAddress)的地址.获取地址的方法是遍历dll导出表,计算函数名字符串的hash,把hash和预先算好的值比较,相等则得到对应函数的地址。

Getstrhash是获取字符串checksum的函数,大小写不敏感。

Obfus_iat_per_dll函数中,hash加载dll后,再用hash获取函数地址,之后随机生成四种模式的加密混淆iat,写入程序自己的导入表。

执行NtSetInformationThread,参数为0x11,使得调试器无法在程序线程中下断点。

数据为生成随机数的函数。

调用alloc_and_antidebug,分配内存的同时检测NtGlobalFlag。

同样的,生成的函数地址也被混淆了,混淆方法大同小异。

随机数生成函数。

3.3.2.3 sub_BFB7B4

Dec_base64s:解密一些base64数据,写入全局字符串。

Judge_lang:判断语言是否为俄语,是则退出。

接下来检测权限,如果不为高权限,则继续提权。

获取后缀名.把使用md5生成的随机uuid进行base64编码,替换特定字符后,就变成了勒索信的后缀名中的一部分。

生成的uuid。

解密字符串,得到勒索信的完整文件名。

根据常量枚举令牌,尝试提权。

判断是否提权成功。

若未成功,则读取explorer.exe的令牌,再次尝试提权。

3.3.2.4 sub_C08EC8

读取命令行,判断是否输入了密码。

未输入密码则执行下面的逻辑:

生成互斥锁,名称如下:

根据系统分辨率判断是否存在显示器,然后创建提权线程：

复制explorer.exe的令牌,提权。

寻找进程也是通过字符串哈希的方式。

同样的哈希比对杀死系统中的一些服务,如Sppsvc,windows defender的Windefend等等。

启动trustinstaller服务,便于篡改系统文件。

回到输入密码的地方.在命令行随意输入一个字符串。

可以看到,病毒计算字符串的hash并与指定值比对,比对正确后进行进一步操作。

4.数据恢复

Solar团队安排工程师去到客户现场，线下协助客户进行勒索病毒数据恢复，最终成功恢复了被加密的数据文件，同时还对客户的网络安全情况做了全面的评估，并提供了相应的解决方法和建设思路，获得了客户的高度好评。

数据恢复前

数据恢复后

5.后门排查

完成解密后，Solar团队使用专用后门排查工具对客户服务器的自启动项、计划任务、可疑网络连接、账号密码强度、可疑进程等项目进行了排查，将遗留后门全部清除。并对隐患项提出了安全加固建议，确保不存在遗留后门，并对服务器进行快照及备份处理。下表为安全加固排查总表：

6.渗透测试

本次渗透测试经客户授权前提下操作

6.1 渗透测试结果

本次渗透测试目标为：

本次渗透测试共发现29个漏洞，其中22个高危，7个中危，漏洞类型包括：MS17-010漏洞、弱口令漏洞、命令执行漏洞、目录遍历漏洞、未授权访问

以下是solar安全团队近期处理过的常见勒索病毒后缀：后缀.360勒索病毒,.halo勒索病毒,.phobos勒索病毒,.Lockfiles勒索病毒,.stesoj勒索病毒,.src勒索病毒,.svh勒索病毒,.Elbie勒索病毒,.Wormhole勒索病毒.live勒索病毒, .rmallox勒索病毒, .mallox 勒索病毒,.hmallox勒索病毒,.jopanaxye勒索病毒, .2700勒索病毒, .elbie勒索病毒, .mkp勒索病毒, .dura勒索病毒, .halo勒索病毒, .DevicData勒索病毒, .faust勒索病毒, ..locky勒索病毒, .cryptolocker勒索病毒, .cerber勒索病毒, .zepto勒索病毒, .wannacry勒索病毒, .cryptowall勒索病毒, .teslacrypt勒索病毒, .gandcrab勒索病毒, .dharma勒索病毒, .phobos勒索病毒, .lockergoga勒索病毒, .coot勒索病毒, .lockbit勒索病毒, .nemty勒索病毒, .contipa勒索病毒, .djvu勒索病毒, .marlboro勒索病毒, .stop勒索病毒, .etols勒索病毒, .makop勒索病毒, .mado勒索病毒, .skymap勒索病毒, .aleta勒索病毒, .btix勒索病毒, .varasto勒索病毒, .qewe勒索病毒, .mylob勒索病毒, .coharos勒索病毒, .kodc勒索病毒, .tro勒索病毒, .mbed勒索病毒, .wannaren勒索病毒, .babyk勒索病毒, .lockfiles勒索病毒, .locked勒索病毒, .DevicData-P-XXXXXXXX勒索病毒, .lockbit3.0勒索病毒, .blackbit勒索病毒等。

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且分支了很多团伙组织，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库及暴力破解进行加密，攻击手法极多防不胜防。

而最好的预防方法就是针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“solar专业应急响应团队”。