埃森哲遭勒索5000万美元，深信服捕获罪魁祸首Lockbit 2.0变种

　　8月11日，全球IT咨询巨头埃森哲遭受了来自LockBit团伙的攻击。埃森哲事件中LockBit勒索团伙声称窃取了埃森哲超过6TB的数据，要求埃森哲支付5000万美元（约3.2亿人民币）作为赎金。

　　埃森哲是一家以服务于政府、金融、科技、能源、制造业等多个行业的IT巨头，是全球最大的科技咨询公司之一。在此次事件中，埃森哲表示：已通过安全控制对受影响的相关服务器进行隔离，使用备份文件恢复了受影响的系统，对日常运营和客户系统没有造成影响。

　　埃森哲虽然在声明中淡化了此次事件对其业务正常运转的影响，但造成的数据泄露也被LockBit作为筹码，他们在延缓数据泄露的同时也表示对这些“专业”数据感兴趣的机构可以联系他们。

　　那么LockBit勒索团伙又是何方神圣？其实，除埃森哲外，近期已有多个国内外企业和单位遭到LockBit的攻击，深信服终端安全团队、深信服安服应急响应中心最新捕获近期事件中的LockBit 2.0变种，深度剖析LockBit攻击历程。

　　其实早在2019年9月LockBit就已经问世，当时安全人员参考了其加密后缀，将其称为“ABCD病毒”。LockBit在过去两年以中国、印度、印度尼西亚、乌克兰、英国、法国、德国等欧洲国家的企业及政府组织作为攻击目标；直至今年2021年6月，LockBit似乎受到其他勒索团伙行动的刺激，攻击活动突然加剧，再次进入大众视野：

　　

　　而此次攻击埃森哲的是LockBit勒索团伙于今年6月推出的新型变种：LockBit2.0，该变种与一代相比，攻击手法仍然延续了弱口令猜解；从沙箱分析结果来看，两代lockbit功能行为非常相似，发生变化的是2.0采用了大量的混淆技巧，更难被反病毒引擎检出：

　　

　　在进入内网后，LockBit利用了大量的扫描工具和暴力破解工具进行横向渗透，以扩大加密面积，获取更多的赎金：

　　

　　（窃取Windows终端密码工具Mimikatz）

　　

　　（第三方应用密码窃取工具，包括无线密码、Web浏览器密码、邮箱密码等）

　　LockBit启动密码窃取的脚本，写入Result.txt做字典用于后续的口令暴力破解攻击：

　　

　　分析人员查看编译时间，2021年7月26号，新鲜度很高：

　　

　　前期的加密准备和LockBit1.0并无太大的区别，识别系统语言，为了自身的顺利运转结束相关的防护软件和服务进程。

　　

　　获取盘符信息以及获取磁盘类型，会加密可移动磁盘，本地硬盘，网络共享文件

　　

　　创建注册表启动项实现开机自启

　　

　　在C:WindowsSysWOW64下创建图标文件，并将该文件写入“计算机HKEY_LOCAL_MACHINESOFTWAREClasses.lockbitDefaultIcon”注册表供加密文件时修改文件使用

　　

　　该勒索使用ECC/AES加密，完成了加密会话后，ECC的完整加密会话的公钥会存储在注册表的private与public中

　　

　　

　　注册.lockbit文件打开方式，使用C:windowssystem32mshta.exe启动释放的Lockbit-ransomware.hta文件来提示受害者。

　　

　　并设置桌面背景为勒索提示图片

　　

　　病毒样本采用了新的加密方法，加密了图片、字符串等资源

　　

　　解密出来的LockBit新图标

　　

　　解密出来的字符串，这里是进程结束清单

　　

　　在需要使用动态链接库函数时，LockBit 2.0会通过以下步骤加载：

　　

　　在查找Kernel32.dll地址时，使用的方法为遍历进程PEB中的模组链，找到并返回Kernel32.dll基址

　　

　　而对于需要调用的函数，LockBit2.0会在动态链接库中遍历所有的函数并匹配hash值，最后返回所需函数地址

　　部分调用次数少的函数会优化变成内联函数形式

　　如以下函数为查找并返回wsprintf地址

　　

　　以下都是转化后的函数

　　

　　可以看到相比于LockBit1.0，2.0的导入表内容非常少

　　

　　病毒样本利用Autoelevated属性的COM组件ICMALuaUtil执行ShellExe绕过UAC验证

　　通过互斥码{3E5FC7F9-9A51-4367-9063-A120244FBEC7}找到CMSTPLUA，打开后调用ICMALuaUtil

　　

　　通过固定偏移+0x28确认是执行ShellExecuteExW

　　

　　1.日常生活工作中的重要的数据文件资料设置相应的访问权限，关闭不必要的文件共享功能并且定期进行非本地备份；

　　2.使用高强度的主机密码，并避免多台设备使用相同密码，不要对外网直接映射3389等端口，防止暴力破解；

　　3.避免打开来历不明的邮件、链接和网址附件等，尽量不要在非官方渠道下载非正版的应用软件，发现文件类型与图标不相符时应先使用安全软件对文件进行查杀；

　　4.定期检测系统漏洞并且及时进行补丁修复。