نماد سایت اتاق خبر شبکه گستر

نگاهی به حملات سیاه باج‌افزار LockBit 3.0

شرکت سوفوس (Sophos) در گزارشی به مهندسی معکوس حملات اخیر جدیدترین نسخه از باج‌افزار معروف LockBit – که با نام‌های LockBit 3.0 و LockBit Black نیز شناخته می‌شود – پرداخته است.

LockBit، از جمله باج‌افزارهایی است که در قالب خدمات موسوم به “باج‌افزار به عنوان سرویس” (Ransomware-as-a-Service – RaaS) به سایر مهاجمان عرضه می‌شود.

در اوایل امسال، جزییاتی در خصوص LockBit 3.0 منتشر شد که نشان می‌داد توسعه‌دهندگان این باج‌افزار در تلاشند تا با اسکریپت‌نویسی، توزیع آن در سطح شبکه را از طریق Windows Group Policy Objects – به اختصار GPO – یا با ابزار PSExec خودکارسازی کنند.

از سویی بررسی LockBit 3.0 نشان می‌دهد که این باج‌افزار، اکثر قابلیت‌های نسخه قبلی خود، یعنی LockBit 2.0 را در خود دارد. در عین حال نویسندگان آن با بکارگیری تکنیک‌های مختلف مبهم‌سازی (Obfuscation)، تحلیل نسخه جدید را برای محققان و محصولات امنیتی به مراتب دشوارتر کرده‌اند.

به عنوان مثال، در برخی موارد، اجرای باج‌افزار LockBit 3.0 مستلزم ورود یک “رمز عبور” 32 کاراکتری در خط فرمان است. بنابراین، بدون اطلاع از رمز عبور مذکور امکان اجرای این باج‌افزار در یک محیط آزمایشگاهی دشوار خواهد بود. هر چند نمونه‌هایی که توسط محققان سوفوس بررسی شده‌اند الزام ورود رمز عبور را نداشته‌اند.

ضمن آن که باج‌افزار با مجوزهای LocalServiceNetworkRestricted نیز قابل اجرا بوده و عملاً نیازی به دسترسی کامل در سطح Administrator ندارد.

نکته قابل توجهه دیگر این که به نظر می‌رسد بسیاری از قابلیت‌های LockBit 3.0 مستقیماً از باج‌افزار BlackMatter برگرفته شده است.

 

LockBit 3.0 نسخه تکامل یافته از BlackMatter

همان طور که اشاره شد LockBit 3.0 چندین تکنیک خود را از خانواده باج‌افزاری BlackMatter الهام گرفته است.

ترفند ضد اشکال‌یابی

Blackmatter و Lockbit 3.0 از ترفند خاصی جهت پنهان کردن فراخوانی توابع داخلی خود استفاده می‌کنند. در هر دو مورد، باج‌افزار یک Windows DLL را از جداول درهم‌ساز (Hash) خود، که بر اساس ROT13 است، بارگذاری می‌کند. همچنین سعی می‌کند با جستجو در Process Environment Block – به اختصار PEB – ماژول، اشاره‌گرها را از توابع مورد نیاز خود دریافت کند.

سپس در انتهای پشته (Heap) به دنبال یک نشانگر باینری خاص در کد (0xABABABAB) می‌گردد؛ اگر این نشانگر را پیدا کرد، به این معنی است که کسی کد را اشکال‌یایی می‌کند لذا نشانگر را ذخیره نمی‌کند و عملاً باج‌افزار متوقف می‌شود.

پس از این بررسی‌ها، برای هر API مورد نیاز، یک Stub خاص ایجاد می‌کند. به طور کلی پنج نوع مختلف Stub وجود دارد که می‌توانند (به صورت تصادفی) ایجاد شوند. هر Stub قطعه کوچکی از Shellcode است که به صورت لحظه‌ای درهم‌ساز API را تحلیل نموده و به نشانی API در حافظه می‌پرد. تکنیکی دیگر برای دشوار کردن مهندسی معکوس کردن این باج‌افزار.

 

 

محققان سوفوس، دستورالعمل رمزگشایی تکه کدهای Stub در Shellcode را در نشانی زیر به اشتراک گذاشته‌اند.

https://gchq.github.io/CyberChef/#recipe=Disassemble_x86(’32’,’Full%20×86%20architecture’,16,0,true,true)
&input=QjggNDQ4M2Y2NjAKQzFDMCAwNApGRkUw

در تصویر زیر، اولین Stub رمزگشایی شده نشان داده شده است.

 

 

مبهم‌سازی رشته‌ها

بسیاری از رشته‌ها هم در LockBit 3.0 و هم در باج‌افزار BlackMatter مبهم‌سازی شده‌اند و در طول زمان اجرا با درج رشته‌های مبهم در پشته و رمزگشایی با یک تابع XOR استخراج می‌شوند. کدهای مبهم‌ساز در LockBit و BlackMatter بسیار شبیه به یکدیگر هستند.

 

 

روش مبهم‌سازی رشته که در باج‌افزار LockBit 3.0 بکارگرفته شده، بسیار شبیه به روش استفاده شده در باج‌افزار BlackMatter به نظر می‌رسد.

 

بازگردانی API

LockBit دقیقاً از همان پیاده‌سازی BlackMatter برای رمزگشایی فراخوانی‌های API استفاده می‌کند؛ با یک استثنا: LockBit یک مرحله اضافی با هدف پنهان کردن عملکرد آن از دیباگرها اضافه کرده است.

 

آرایه فراخوانی‌ها دقیقاً همان تابع موجود در باج‌افزار LockBit 3.0 بوده و عملکردی مشابه را ارائه می‌دهد.

 

 

پنهان‌سازی نخ‌ها

هر دو باج‌افزار LockBit و BlackMatter با بکارگیری تابع NtSetInformationThread و پارامتر ThreadHideFromDebugger، نخ‌ها (Thread) را مخفی می‌کنند. احتمالاً این موجب می‌شود که اشکال‌یاب، رویدادهای مربوط به این نخ‌ها را شناسایی نکند.

 

 

LockBit نیز از همان ویژگی ThreadHideFromDebugger به عنوان ترفندی جهت فرار از سد محصولات امنیتی و ابزارهای کنترلی استفاده می‌کند.

 

چاپ اطلاعیه باج‌گیری

LockBit، همانند BlackMatter، اطلاعیه باج‌گیری (Ransom Note) را مستقیماً به چاپگرهای قابل دسترس ارسال می‌کند.

 

 

حذف Volume Shadow Copy

هر دو باج‌افزار از طریق حذف فایل‌های Volume Shadow Copy، قابلیت کامپیوتر آلوده را در بازیابی فایل‌های رمزگذاری‌شده از بین می‌برند. باج‌افزار LockBit، متد IWbemLocator::ConnectServer را فراخوانی می‌کند تا به فضای محلی ROOT\CIMV2 متصل شده، به نشانگری از یک Object در IWbemServices دست پیدا کرده و در نهایت IWbemServices::ExecQuery را برای اجرای یک Query از WQL فراخوانی کند.

 

 

در این حالت نیز متد LockBit مشابه BlackMatter است، با این تفاوت که تا حدودی مبهم‌سازی رشته را به زیرروال (Subroutine) اضافه می‌کند.

 

 

استفاده از DNS

هر دو باج‌افزار LockBit و BlackMatter با فراخوانی NetShareEnum، اسامی دستگاه را در شبکه استخراج می‌کنند.

 

 

به نظر می‌رسد که در کد منبع LockBit، تابع مذکور به طور دقیق و کلمه به کلمه از کد منبع باج‌افزار BlackMatter کپی شده است.

 

تشخیص نسخه سیستم‌عامل

هر دو نوع باج‌افزار از کد یکسانی – و حتی با بکارگیری کدهای بازگشتی یکسان – جهت بررسی نسخه سیستم‌عامل استفاده می‌کنند. اگر چه با توجه به هگزادسیمال بودن شماره نسخه چنین شباهتی را می‌توان عادی و معمول دانست.

 

 

پیکربندی

هر دو باج‌افزار، داده‌های پیکربندی را در فایل‌های اجرایی باینری تعبیه کرده‌اند. باج‌افزار LockBit پیکربندی خود را به روشی مشابه BlackMatter رمزگشایی می‌کند، البته با چند تفاوت کوچک.

به عنوان مثال، BlackMatter پیکربندی خود را در بخش rsrc. ذخیره می‌کند، در حالی که LockBit آن را در pdata. ذخیره می‌نماید.

 

 

و LockBit از یک الگوریتم Linear Congruential Generator – به اختصار LCG – متفاوت برای رمزگشایی استفاده می‌کند.

 

 

برخی از محققان حدس می‌زنند که شباهت بسیار زیاد بین کد باج‌افزارهای LockBit و BlackMatter ممکن است به علت استخدام یک یا چند کدنویس باج‌افزار BlackMatter توسط گردانندگان LockBit باشد. یا اینکه گردانندگان LockBit کدهای باج‌افزار BlackMatter را خریداری کرده باشند و یا ممکن است این شباهت‌های زیاد به دلیل همکاری توسعه‌دهندگان و برنامه‌نویسان این دو باج‌افزار باشد.

بر اساس تحقیقات قبلی، تعامل بین گروه‌های باج‌افزاری چه سهواً یا عمداً چندان غیر‌معمول نیست.در هر صورت، این یافته‌ها شواهد دیگری است از اینکه اکوسیستم باج‌افزار پیچیده و در عین حال تغییرپذیر است.

در هر صورت، LockBit 3.0 را می‌توان باج‌افزاری پیشرو دانست. همانطور که سایت نشت‌داده LockBit 3.0 – که شامل جایزه اعلام باگ‌ها و آسیب‌پذیری‌ها و جایزه‌ای برای “ایده‌ها و نوآوری‌های درخشان” است – از استقبال گردانندگان این باج‌افزار از نوآوری حکایت دارد.

 

بکارگیری ابزارهای تست نفوذ

از سوی دیگر، حملات LockBit 3.0 از استفاده مهاجمان آن از ابزارهای مورد استفاده در جریان تست‌های نفوذ حکایت دارد.

برای مثال، مهاجمان در مواردی از ابزاری با نام Backstab که بر روی GitHub نیز قابل دسترس است، استفاده کرده‌اند. عملکرد اصلی Backstab، همانطور که از نامش پیداست، مختل نمودن ابزاری است که تحلیلگران در مراکز عملیات امنیتی جهت نظارت بر فعالیت‌های مشکوک استفاده می‌کنند.

این ابزار از درایور Process Explorer مایکروسافت (امضاشده توسط مایکروسافت) برای توقف پروسه‌های محافظت شده و ضدبدافزار و غیرفعال نمودن ابزارهای EDR استفاده می‌کند.

Cobalt Strike دیگر ابزاری به نوعی معتبر است که مهاجمان LockBit از آن برای دست‌درازی به Windows Defender بهره می‌گیرند.

یا در نمونه‌ای دیگر، مهاجمان از نوعی باج‌افزار قفل شده با رمز عبور به نام lbb_pass.exe استفاده می‌کنند که پیش‌تر توسط مهاجمان باج‌افزار REvil نیز بکار گرفته شده است. این نشان می‌دهد که مهاجمان این باج‌افزار وابسته به هر دوی این گروه‌ها می‌باشند و یا مهاجمانی که به LockBit وابسته نیستند از ابزار ساخت باج‌افزار LockBit 3.0 استفاده کرده‌اند. طبق گزارش‌ها حداقل یک گروه به نام BlooDy، از این ابزار استفاده کرده است و احتمال آن وجود دارد که تعداد بیشتری این ابزار را بکار گرفته باشند.

مهاجمان LockBit 3.0 همچنین از ابزارهای عمومی در دسترس زیر که استفاده از آنها در بین مهاجمان باج‌افزاری دیگر نیز رایج است، بهره برده‌اند:

همچنین شواهد به دست آمده حاکی از آن است که مهاجمان از ابزاری به نام Netscan برای کاوش در شبکه موردنظر و از Mimikatz جهت استخراج رمز عبور استفاده می‌کنند.

 

اطلاعات بیشتر

مشروح گزارش سوفوس در لینک زیر قابل دریافت و مطالعه است:

https://news.sophos.com/en-us/2022/11/30/lockbit-3-0-black-attacks-and-leaks-reveal-wormable-capabilities-and-tooling/

نشانه‌های آلودگی (IoC) این باج‌افزار نیز در لینک زیر قابل دسترس است:

https://github.com/sophoslabs/IoCs/blob/master/Ransomware-Lockbit3-IOCs.csv

خروج از نسخه موبایل