LockBit3.0勒索病毒利用PowerShell无文件攻击技术分析

前言

LockBit勒索病毒首次攻击于2019年9月被发现，最开始被称作为ABCD勒索病毒，因为它加密后的文件后缀名为abcd，随后它加密后的文件后缀修改为lockbit,并被更名为LockBit勒索病毒，与大多数主流勒索病毒黑客组织一样，以RAAS(Ransomware-as-a-service)平台模式运营，并于2021年6月该勒索病毒推出了它的更新版本LockBit2.0，并加入了磁盘卷影和日志文件删除等新功能，同时还推出了它的专用窃密木马StealBit，对受害者进行双重勒索攻击，它是继GandCrab、Sodinokibi(REvil)等勒索病毒之后，成为全球最活跃的勒索病毒，同时该勒索病毒也号称是加密速度最快的勒索病毒。

2022年6月，LockBit勒索病毒黑客组织再次完成升级，并于2022年7月推出LockBit3.0正式版本，LockBit3.0版本的勒索病毒又称为LockBit Black勒索病毒，最新版的勒索病毒主要在免杀方式又做了更进一步的加强，持续优化了安全软件的对抗能力，可以发现该勒索病毒开发人员不断在尝试和研究新的免杀攻击技术以逃避安全软件的检测，同时他们在LockBit3.0版本的暗网网站上还发布了漏洞赏金计划，邀请全球的安全研究人员、道德和不道德的黑客参与漏洞赏金计划，提交漏洞，报酬金额从1000美元到100万美元不等，最近该勒索病毒黑客组织在其暗网网站上不断公布新的受害者，勒索赎金从几万、十几万美元到几百万美元不等，短短半个多月的时间，在其暗网网站上已经公布了几十个受害者了，不愧为全球最活跃的勒索病毒。

详细分析

1.该勒索病毒样本使用PowerShell脚本进行加载，原始脚本被高度混淆了，如下所示：

2.解混淆之后，执行如下脚本，所示：

3.解混淆后的脚本，两个数组存储核心代码，然后利用解密算法解密两个数组，然后执行解密的代码，如下所示：

4.解密第一个数组数据之后，是一个PowerShell加载程序，可以加载代码到进程中执行，如下所示：

5.解密第二个数组数据之后，是另外一个PowerShell加载程序，用于加载执行LockBit3.0勒索病毒Payload核心数据代码，如下所示：

6.将Payload的数据解密之后，就是LockBit3.0勒索病毒核心代码，如下所示：

7.动态调试该LockBit3.0勒索病毒代码，使用了各种混淆加密以及反调试技术，有兴趣的朋友可以自己调试分析一下，也可以参考此前的分析报告，如下所示：

8.LockBit3.0勒索病毒加密后的文件，如下所示：

9.生成的勒索提示信息文件名为随机动态字符串(19MqZqZ0s)+静态字符串(README).txt，内容如下所示：

威胁情报

HASH

00A50F67D713A45CEA6DC956C30042C1

总结

此前GandCrab、Sodinokibi等流行勒索病毒都曾利用PowerShell无文件攻击技术进行勒索攻击，笔者此前也写过一篇文章详细地介绍无文件勒索病毒攻击手法的文章，最近几年基于无文件攻击技术的网络犯罪活动越来越多，这些无文件恶意软件攻击技术被应用于勒索、挖矿、RAT远控、僵尸网络、APT攻击等，在过去的几年时间里面，无文件感染技术已经成为了终端安全的新威胁之一，有兴趣的朋友可以去参考笔者此前的文章，里面有详细的介绍。

《揭密无文件勒索病毒攻击，思考网络安全新威胁》

勒索病毒攻击已经成为了全球最大的威胁之一，而且在未来几年里，勒索攻击会越来越多，同时随着APT组织的加入，勒索攻击的手法和技术也会越来越复杂，勒索病毒黑客组织不断在全球寻找新的攻击目标，他们的目标很简单也很单纯，就是为了搞钱，该观点在他们的勒索提示信息文件中已经明确表明了，如下所示：

安全的核心就是对抗，安全厂商与黑客组织的对抗，黑客组织不断利用新的攻击手法逃避安全厂商的追踪与检测，不管是在免杀技术的研究，还是在攻击手法和最新漏洞的利用，以及黑客组织的运营模式上面(RAAS,二重勒索、三重勒索、四重勒索等)黑客组织也都在不断升级更新，LockBit3.0在免杀方面做了很多新的尝试与研究，黑客组织为了获取巨大的利益都在不断的进步，安全研究人员更需要不断锻炼和提升自己的技术能力，更新自己的知识储备，与时俱进，同时还需要不断提升自身的安全认知水平，理解安全的本质，理解客户的真实需求，做安全是一个不断持续对抗的过程，没有尽头，因为黑客组织会一直存在，黑客攻击活动会一直发生，选择做安全其实就是选择一条“不归路”，永远都在路上。