惡意勒索軟體 Ransomware

用於竊取個人、企業相關機敏資訊
惡意勒索軟體 Ransomware

LockBit 3.0 近期的攻擊行為與手法

2022-08-03

一、經過 Sogei SpA 公司的調查:LockBit 並沒有成功對義大利國稅局進行惡意攻擊

事件概述

LockBit 惡意勒索軟體自 2019 年 9 月發跡,並在 2021 年 6 月開始提供了 RaaS (ransomware-as-a-service) 的服務,提供給受限於技術能專業知識的攻擊者勒索服務,被認為是近代最創新的攻擊軟體之一。 根據 FBI 的統計,在 2022 年 5 月裡,與 LockBit 有關的惡意軟體攻擊便佔了全部攻擊的 40%。

在 7 月底時,LockBit 聲稱入侵了義大利國稅局的網路並盜取了約 100GB 的資料,其中包括:各公司資料、掃描檔案、財務報表、契約等等,若國稅局在 8/1 時仍不繳付贖金,將會把資料全數公開。然而,義大利國稅局委託 Sogei (Società Generale d'Informatica) SpA 公司對此次LockBit進行調查並發出聲明,表示: 「並沒有 LockBit 聲稱的對於財務和技術的網絡攻擊發生。」

 

二、LockBit 透過使用安全性工具和 Windows Defender -新型攻擊手法描述 

前情提要

雖然 LockBit 並沒有成功對義大利國稅局進行惡意勒索,經調查, LockBit 的駭客們近期利用:(1) 遠距工作軟體 VMware Horizon 中的 Log4j 漏洞與 (2) Windows Defender command line tool 使用 Cobalt Strike 滲透測試工具以躲過安全性軟體的掃描。

 

攻擊過程

LockBit 駭客先透過 VMWare Horizon 伺服器內的 Log4j 漏洞進入到 Blast 安全閘道中,利用 PowerShell.exe 執行檔中的code 下載可上傳到網頁對於文件進行編輯、存取的惡意代碼 (後門殼層,webshell) 。(參考https://www.easyatm.com.tw/wiki/webshell)

在完成上述攻擊 (exploitation) 之後,數個安全性掃描工具,例如:Meterpreter, PowerShell Empire and a new way to side-load Cobalt Strike 等。其中, LockBit 駭客透過合法的 Windows Defender command line tool,  將惡意的 DLL 執行檔案篩選出來並估加密與解密,在使其不被安全性軟體察覺的情況中,將 Cobalt Strike Beacon 植入到受感染系統中的惡意使 C2 伺服器得以在受害系統中執行任何惡意命令。

圖片說明:LockBit 駭客如何對於可疑的執行檔案進行加解密避開 Windows Defender 的偵查

圖片來源:https://www.sentinelone.com/blog/living-off-windows-defender-lockbit-ransomware-sideloads-cobalt-strike-through-microsoft-security-tool/

 

參考資料

TOP