LockBit2.0勒索病毒逆向分析报告

作者: 国瑞安全

浏览:

样本信息

Lockbit最早发现且流行约2020年初,通过RDP弱口令爆破攻击,该勒索病毒不仅加密本地磁盘文件。还将枚举并加密同一网段下的所有共享磁盘。加密文件采用RSA结合AES的方式。至今在没有秘钥的情况下暂不能解密。本次样本为最新的Lockbit2.0,其勒索病毒团伙号称是迄今为止世界上最快的加密软件。

技术分析

issa.exe病毒文件通过Setup Factory打包为安装文件

图:issa.exe包装信息

运行后将在C盘%Appdata%目录下创建文件夹SBOP Crystal释放文件集。其中sharpsvn.exe为主程序,在释放后立即执行。

图:包装程序释放的文件

程序在运行后调用qclp-2_3.dll模块的导出函数GetBorderCounts

图:调用qclp-2_3模块

该模块导出函数执行后打开当前路径下Guide.pdf文件

图:打开并读取pdf文件

Guide.pdf文件中插入多段ShellCode, 通过偏移一定值按序执行代码逻辑

图:恶意的PDF文件

读取的Guide.pdf文件数据通过一个偏移值访问任意一段ShellCode来执行功能

图:读Guide.pdf文件

硬编码字符串通过异或来解密,所有的模块在shellcode运行时动态加载

图:动态解密字符串及加载库

豁免指定语言的计算机:

0x82C阿塞拜疆,西里尔(AZ)

0x42C阿塞拜疆、拉丁语(AZ)

0x42B亚美尼亚(AM)

0x423白俄罗斯(BY)

0x437格鲁吉亚(GE)

0x43F哈萨克斯坦(KZ)

0x440吉尔吉斯斯坦(KG)

0x819俄罗斯摩尔多瓦(RU)

0x419俄罗斯(RU)

0x428塔吉克斯坦、西里尔(TJ)

0x442土库曼斯坦(TM)

0x843乌兹别克斯坦,西里尔(UZ)

0x443乌兹别克斯坦,拉丁语(UZ)

0x422乌克兰(UA)

图:区域豁免

检查系统版本,通过AdjustPrivilege提升权限

图:提权操作

结束含有指定名称的进程

wxServer,wxServerView,sqlmangr,RAgui,supervise,Culture,Defwatch,winword,QBW32,QBDBMgr,qbupdate,axlbridge,httpd,fdlauncher,MsDtSrvr,java,360se,360doctor,wdswfsafe,fdhost,GDscan,ZhuDongFangYu,QBDBMgrN,mysqld,AutodeskDesktopApp,acwebbrowser,CreativeCloud,AdobeDesktopService,CoreSync,AdobeCEF,Helper,node,AdobeIPCBroker,sync-taskbar,sync-worker,InputPersonalization,AdobeCollabSync,BrCtrlCntr,BrCcUxSys,SimplyConnectionManager,Simply.SystemTrayIcon,fbguard,fbserver,ONENOTEM,wsa_service,koaly-exp-engine-service,TeamViewer_Service,TeamViewer,tv_w32,tv_x64,TitanV,Ssms,notepad,RdrCEF,sam,oracle,ocssd,dbsnmp,synctime,agntsvc,isqlplussvc,xfssvccon,mydesktopservice,ocautoupds,encsvc,tbirdconfig,mydesktopqos,ocomm,dbeng50,sqbcoreservice,excel,infopath,msaccess,mspub,onenote,outlook,powerpnt,steam,thebat,thunderbird,visio,wordpad,bedbh,vxmon,benetns,bengien,pvlsvr,beserver,raw_agent_svc,vsnapvss,CagService,DellSystemDetect,EnterpriseClient,ProcessHacker,Procexp64,Procexp,GlassWire,GWCtlSrv,WireShark,dumpcap,j0gnjko1,Autoruns,Autoruns64,Autoruns64a,Autorunsc,Autorunsc64,Autorunsc64a,Sysmon,Sysmon64,procexp64a,procmon,procmon64,procmon64a,ADExplorer,ADExplorer64,ADExplorer64a,tcpview,tcpview64,tcpview64a,avz,tdsskiller,RaccineElevatedCfg,RaccineSettings,Raccine_x86,Raccine,Sqlservr,RTVscan,sqlbrowser,tomcat6,QBIDPService,notepad++,SystemExplorer,SystemExplorerService,SystemExplorerService64,Totalcmd,Totalcmd64,VeeamDeploymentSvc

在注册表Run下设置自启动项:

SOFTWARE\Microsoft\Windows\CurrentVersion\Run

设置值为:

C:\%Appdata%\Roaming\SBOP Crystal\sharpsvn.exe

图:注册自启动

查询CPU生产厂商标示,如果不与"AuthcAMDenti"、"GenuntelineI"相符合则病毒判断不在真机环境退出进程

图:虚拟环境检测

在内存中解密勒索信字符串

图:勒索信解密并释放

勒索信文本内容如下

图:释放的勒索信文件

在注册表下创建项HKCU\Software\{UID}, Public存放RSA公钥。Private存放被加密的RSA私钥与AES秘钥

图:存放被加密的算法密钥

通过未导出系统函数NtSetInformationThread的ThreadAffinityMask重新实现 SetThreadAffinityMask绑定进程到CPU核心,可用于加快勒索加密的过程。

图:加密速度提升

创建线程,指定服务

在内存中通过异或解密多组描述服务名称的字符串,依次停止那些指定的名称的服务。

"wrapper"

"DefWatch"

"ccEvtMgr"

"ccSetMgr"

"SavRoam"

"Sqlservr"

"sqlagent"

"sqladhlp"

"Culserver"

"RTVscan"

"sqlbrowser"

"SQLADHLP"

"QBIDPService"

"Intuit.QuickBooks.FCS"

"QBCFMonitorService"

"sqlwriter"

"msmdsrv"

"tomcat6"

"zhudongfangyu"

"vmware-usbarbitator64"

"vmware-converter"

"dbsrv12"

"dbeng8"

"MSSQL$MICROSOFT##WID"

"MSSQL$VEEAMSQL2012"

"SQLAgent$VEEAMSQL2012"

"SQLBrowser"

"SQLWriter"

"FishbowlMySQL"

"MSSQL$MICROSOFT##WID"

"MySQL57"

"MSSQL$KAV_CS_ADMIN_KIT"

"MSSQLServerADHelper100"

"SQLAgent$KAV_CS_ADMIN_KIT"

"msftesql-Exchange"

"MSSQL$MICROSOFT##SSEE"

"MSSQL$SBSMONITORING"

"MSSQL$SHAREPOINT"

"MSSQLFDLauncher$SBSMONITORING"

"MSSQLFDLauncher$SHAREPOINT"

"SQLAgent$SBSMONITORING"

"SQLAgent$SHAREPOINT"

"QBFCService"

"QBVSS"

图:停止指定服务

文件加密时通过GetLogicalDrives和GetDriveTypeA获取磁盘的信息

图:遍历磁盘

遍历时排除以下指定的文件扩展名

".386"、".cmd"、".exe"、".ani"、".adv"、".theme"、".msi"、".msp"、".com"、".diagpkg"、".nls"、".diagcab"、".lock"、".ocx"、".mpa"、".cpl"、".mod"、".hta"、、".icns"、".prf"、".rtp"、".diagcfg"、".msstyles"、".bin"、".hlp"、".shs"、、".drv"、".wpx"、".bat"、".rom"、".msc"".spl"、".ps1"、".msu"、".ics"、".key"、".mp3"、".reg"、".dll"、".ini"、、".idx"、".hlp"、".ico"、".lnk"、".rdp"、"ntldr"、"ntuser.dat.log"、"bootsect.bak"、"autorun.inf"、"Restore-My-Files.txt"

遍历磁盘文件时排出指定关键字的目录

"$windows.~bt"

"Intel"

"Msocache"

"intel"

"msocache"

"$recycle.bin"

"$windows.~ws"

"tor browser"

"boot"

"system volume information"

"perflogs"

"google"

"application data"

"windows"

"windows.old"

"appdata"

"Windows nt"

"Msbuild"

"Microsoft"

"All users"

"mozilla"

排出以下文件后缀名

rar、zip、7z、ckp、dacpac、db、db-shm、db-wal、
db3、dbf、dbc、dbs、dbt、dbv、frm、mdf、mrg、mwb、
myd、ndf、qry、sdb、sdf、sql、sqlite、sqlite3、
qlitedb、tmd

修改文件名, 为文件名末尾添加后缀".lockbit"

图:修改文件后缀

通过GetAdaptersInfo获得本机网卡的子网地址段,枚举1-255内网IP, 对其中建立连接成功的网络地址通过NetShareEnum枚举它的网络共享资源,对其中的共享资源进行加密操作。

图:枚举网络资源

通过BCryptGenRandom为每个文件生成32位秘钥,使用AES-ECB加密文件数据。

图:AES算法代码


LockBit2.0勒索病毒逆向分析报告
长按图片保存/分享
0
近期爆发病毒
搜索

—— 联系我们    Contact Us ——

24小时应急响应电话:15021662155 (微信同号)

 serve@grit.com.cn

样本提交 2012 - 2020 Copyright © 国瑞IT安全服务中心 沪ICP备09036178号 

添加微信好友,详细了解产品
使用企业微信
“扫一扫”加入群聊
复制成功
添加微信好友,详细了解产品
我知道了