1、概述　　近期发生了某金融机构遭到勒索攻击的事件[1]。多方信息表示，该事件与LockBit勒索攻击组织存在密切关联。安天CERT用“存在密切关联”进行定性的原因是，LockBit是一个基于——ZAKER，个性化推荐热门新闻，本地权威媒体资讯

 

1、概述近期发生了某金融机构遭到勒索攻击的事件 [ 1 ] 多方信息表示，该事件与 LockBit 勒索攻击组织存在密切关联安天 CERT 用 " 存在密切关联 " 进行定性的原因是，LockBit 是一个基于 " 勒索软件即服务 "（RaaS）模式运营的攻击组织，其构建支撑勒索攻击的基础设施，包括研发发布勒索攻击恶意代码载荷、提供定制构造器、构建统一的勒索攻击提示、构建虚拟货币的支付通道，使各种攻击组织、个人均能依托其 " 服务 " 进行攻击作业，提供 RaaS 的组织和实施攻击者之间通过敲诈勒索或贩卖窃取数据获得的赃款进行分账。

由于在 " 勒索即服务模式 " 中，" 基础设施 " 提供方和实施攻击者通常不是同一组织和个体，甚至相互间是背靠背的，其支付是以比特币等加密数字货币来运行的，给事件全面溯源分析带来巨大的困难LockBit 被评为 2022 年全球最活跃的勒索攻击组织，其面向 Windows、Linux、macOS、以及 VMware 虚拟化平台等多种主机系统和目标平台研发勒索软件，其生成器通过简单交互即可完成勒索软件定制。

LockBit 勒索软件仅对被加密文件头部的前 4K 数据进行加密，因此加密速度明显快于全文件加密的其他勒索软件，由于在原文件对应扇区覆盖写入，受害者无法通过数据恢复的方式来还原未加密前的明文数据该组织最早被发现于 2019 年 9 月，因其加密后的文件名后缀为 .abcd，而被称为 ABCD 勒索软件；该组织在 2021 年 6 月发布了勒索软件 2.0 版本，增加了删除磁盘卷影和日志文件的功能，同时发布专属数据窃取工具 StealBit，采用 " 威胁曝光（出售）企业数据 + 加密数据 " 双重勒索策略；2021 年 8 月，该组织的攻击基础设施频谱增加了对 DDoS 攻击的支持；2022 年 6 月勒索软件更新至 3.0 版本，由于 3.0 版本的部分代码与 BlackMatter 勒索软件代码重叠，因此 LockBit 3.0 又被称为 LockBit Black。

这反应出不同勒索攻击组织间可能存在的人员流动、能力交换等情况使用 LockBit RaaS 实施攻击的相关组织进行了大量攻击作业，通过第三方获取访问凭证、漏洞武器化和搭载其他恶意软件等方式入侵至受害者系统后投放勒索软件，大量受害者遭受勒索与数据泄露，使 LockBit 成为目前最活跃的勒索攻击组织，甚至主动采取了传播和 PR 活动。

2、近年典型攻击事件使用 LockBit 勒索组织 RaaS 服务的攻击者，主要通过第三方获取访问凭证、漏洞武器化和搭载其他恶意软件等方式实现对受害系统的初始访问，窃取数据文件后投放 LockBit 勒索软件实现加密。

该组织附属成员较多，在其 Tor 网站几乎每天都有新增来自世界各地的受害者信息，自采用 " 威胁曝光企业数据 + 加密数据勒索 " 双重勒索策略以来，其 Tor 网站上共计发布 2200 余条受害企业信息，2023 年截至目前已发布 900 余条受害企业信息，如附属成员和受害企业通过 " 私下谈判 " 的方式，则不会在 Tor 公开受害企业信息，也意味着实际受害企业数量会超过其公开发布过的受害企业数量。

表   2 ‑ 1   遭遇 LockBit 勒索攻击的典型事件清单3、攻击组织和对应攻击情况概览表   3 ‑ 1   LockBit 攻击组织基本情况4、历史关联攻击活动的典型技战术行为图谱基础设施开展勒索攻击的组织人员较多，作业风格又有不同差异，众多事件没有披露更多细节。

对整个攻击生命周期的攻击入口、突防方式、横向移动、关键资产窃取路径等分析难以展开，我们通过目前掌握的线索对相关攻击常见战术和技术形成清单，并基于 ATT&CK 框架进行标注图 4 ‑ 1 LockBit 相关勒索攻击的常见战术行为图谱

对应清单如下：表   4 ‑ 1 LockBit 相关勒索攻击的常见战术行为列表5、LockBit3.0forWindows版本样本分析由于 RaaS 支撑的勒索攻击是多个不同组织采用统一的攻击基础设施，依托各攻击组织本身的攻击能力和掌握的入口资源，使用同一套基础代码版本迭代和免杀加工的载荷进行攻击。

因此 RaaS+ 定向勒索分析是一个多要素综合分析，特别是要针对攻击基础设施、攻击战术和攻击样本分别展开分析LockBit 有针对多个常见系统平台载荷，我们本篇先发布对其 For Windows 版本的历史分析，后续再发布其他样本的分析。

表   5 ‑ 1 样本标签注：可在计算机病毒分类命名百科全书 Virusview.net，搜索 "LockBit" 查看更多改病毒家族相关信息LockBit 3.0 勒索软件执行后会释放 .ico 文件和 .bmp 文件于 %PROGRAMDATA% 路径下，用作后续被加密文件的图标和修改的桌面壁纸。

图 5 ‑ 1 附加扩展名勒索软件释放勒索信包含 Tor 地址，用于赎金沟通图 5 ‑ 2 勒索信修改的桌面背景如下图所示：图 5 ‑ 3 修改桌面背景LockBit 3.0 的代码段进行了加密，在执行后会根据传入的 "-pass" 命令行参数解密执行，没有密码则无法执行，用该手段避免核心功能被分析。

图 5 ‑ 4 解密代码段通过 NtSetThreadInformation 函数将线程信息设置为 ThreadHideFromDebugger，以干扰研究人员分析图 5 ‑ 5 干扰分析代码片段检测系统语言，如果为特定语言则退出程序，不再执行。

图 5 ‑ 6 检查语言具体检查的语言列表如下，通过其规避的系统，可见 LockBit 组织本身具有较强的东欧背景特点表 5 ‑ 2 检查的语言列表创建多个线程进行加密，并将线程设置为隐藏图 5 ‑ 7 创建文件加密线程。

6、定向勒索攻击对关基安全挑战和应对思考从定向勒索攻击造成后果损失来看，我们必须改变对安全风险与价值的认知范式由于定向勒索攻击已经形成了窃取数据、瘫痪系统和业务、贩卖数据和曝光数据的组合作业其最大化风险不只是系统和业务瘫痪无法恢复，而同时面临被攻击企业的用户信息、关键数据、文档、资料、代码等核心资产被倒卖，被公开的风险，从而带来更大的连锁反应。

从国内外长期的领域现实来看，较大比例政企机构改善自身的安全动力，并不来自于提升防护水平的能动性，包括很多企事业单位认为最可能发生的安全风险，不是遭遇攻击，而是因达不到合规标准，会遭到处罚因此，构成了一套投入——合规——免责的低限建设运行逻辑。

而定向勒索所带来的后果，让 IT 决策者必须判断极限风险，并通过极限风险损失来判断网络安全的工作价值，如何避免业务长时间中断、数据彻底无法恢复、被窃取的数据资产被竞争对手购买，或因曝光严重贬值等极限情况，都是从 IT 决策者到每一个机构必须应对的风险。

客观的敌情想定是做好网络安全防御工作的前提而基于底线思维的后果推演，也同样是想定的一部分从预算投入方面，我们通常将网络安全在信息化的占比作为一个度量衡，这使网络安全长期处在从属、配套和被压制状态网络安全风险后果是否才应该是安全投入的第一度量衡，也需要我们来思考。

从定向勒索攻击的作业方式来看，我们必须认识到其在加密毁瘫行为触发前，是类似 APT 攻击的高度定制化的作业过程攻击者或是专业的攻击团队，有坚定的攻击意志、较高的攻击能力、充分的可利用漏洞资源、并能掌握大量可利用的脆弱性情报和攻击入口资源，有的可能直接就是内部的攻击者。

这才是依托 RaaS 的定向勒索攻击行动，面对有较强 IT 运营能力和防护投入的大型机构仍能屡屡得手的原因无论在勒索防护中扮演最后一道防线的主机系统防护，还是作为最后应对手段的备份恢复，都只是一个单点环节，都在应对高水平定向攻击中扮演在本身能力范围内检测阻断攻击、降低攻击成功率、提高攻击成本、降低风险损失的局部作用，但都无法以单点来对抗体系性的攻击。

我们必须严肃的指出：将定向勒索攻击简单的等同于早期非定向扩散或广泛投放的勒索病毒的威胁，将勒索应对简单看成是加密毁瘫 VS 备份恢复的单点对抗，是极为落后、片面的安全认知如果没有一套完整的防护体系和运营机制，而是认为依靠数据备份恢复来应对勒索攻击。

就如同只出场一名守门员，来对抗对方的一支球队从定向勒索攻击的杀伤链特点来看，我们要坚信防范定向勒索攻击有系统化的方法和落地抓手针对体系性的攻击，必须坚持关口前移，向前部署，构成纵深，闭环运营提升攻击者火力侦察和进展到外围地带的发现能力，拦截于前。

降低攻击方进入到核心地带的可能性提升网络和资产可管理性是工作的基础：主动塑造和加固安全环境、强化暴露面和可攻击面管理的约束和管理、强化对供应链上游入口的管控、启动全面的日志审计分析和监测运行构建从拓扑到系统侧的防御纵深，针对攻击者探测、投放、漏洞利用、代码运行、持久化、横向移动等行为展开层层设防，特别要建设好主机系统侧防护作为最后一道防线和防御基石，构建围绕执行体识别管控的细粒度治理能力，最终通过防护体系以达成感知、干扰、阻断和呈现定向攻击方杀伤链的实战运行效果。

附录一：安天为助力主管机构、客户和公众应对勒索攻击所作的部分工作安天一直致力于提升客户有效防护能力，并和客户共同提升对安全的理解和认知安天长期持续跟踪勒索攻击的演进变化，持续发布威胁研判报告，在 2006 年 6 月 14 日截获分析了国内最早的勒索软件 redplus（Trojan.Win32.Pluder.a），之后又发布。

《揭开勒索软件的真面目》（2015 年） [ 2 ] 、《安天针对勒索蠕虫 " 魔窟 "（WannaCry）的深度分析报告》 [ 3 ] 、《勒索软件 Sodinokibi 运营组织的关联分析》 [ 4 ] 和

《关于美燃油管道商遭勒索攻击事件样本与跟进分析》 [ 5 ] 等重要报告，特别是在WannaCry（魔窟）勒索蠕虫大规模爆发事件前五个月，做出了勒索攻击将带动蠕虫回潮的预判 [ 6 ] 在 WannaCry 勒索蠕虫的响应中，安天一方面快速跟进分析，同时为用户提供。

防护手册 [ 7 ] 和开机指南 [ 8 ] 并提供了免疫工具、专杀工具、内存密钥获取和恢复工具等在 " 必加 " ( PETYA ) 伪装成勒索的毁瘫攻击中，也第一时间做出了其可能不是一起勒索攻击事件的准确判断。

安天 CERT 持续跟踪各勒索软件家族和 RaaS 攻击组织，针对 LockBit [ 9 ] 、GandCrab [ 10 ] 和Sodinokibi等流行勒索软件家族发布了样本分析报告及防护建议，特别是基于垂直响应平台推出了

《从八个方面认识勒索攻击和危害》专题系列文章 [ 11 ] [ 12 ] [ 13 ] [ 14 ] [ 15 ] [ 16 ] ，助力政企客户和公众了解勒索攻击，提升防范意识2021 年，为加强勒索病毒攻击防范应对，在工业和信息化部网络安全管理局指导下，中国信通院联合安天等单位编制发布了《勒索病毒安全防护手册》 [ 17 ] ，手册对如何防范勒索攻击提出了详细的清单化的建议。

安天基于自主研发的AVL SDK 反病毒引擎支撑自身产品和引擎生态合作伙伴的恶意代码检测能力，对包括勒索病毒在内的各类恶意代码工具进行精准检测和清除安天智甲终端防御系统、睿甲云防护系统基于安天执行体治理的基本理念，协助客户塑造可信安全主机环境。

安天智甲端侧构建了由系统加固、主机防火墙（HIPS）、扫描过滤、执行管控、行为防护、重点数据保护的组合安全机制，针对勒索攻击构成多个防护层次，特别重点数据保护机制，基于对批量文件读写的拦截，在其他安全机制均被绕过失效的情况下，尝试实现行为拦截和止损。

当然，我们从来不相信网络安全存在银弹我们致力于我们的引擎和每个产品都能在其作战位置最大化发挥价值，接受实战对抗的检验相关内容，可以参考《安天产品助力用户有效防护勒索攻击》 [ 18 ] 进行了解附录二：参考资料

安天 . 揭开勒索软件的真面目 [ R/OL ] . ( 2015-08-03 ) ,https://www.antiy.com/response/ransomware.html. [ R/OL ] . ( 2017-05-13 ) ,https://www.antiy.com/response/wannacry.html.

[ R/OL ] . ( 2019-06-28 ) ,https://www.antiy.com/response/20190628.html. [ R/OL ] . ( 2021-05-11 ) ,https://www.antiy.com/response/20210511.html.

[ R/OL ] . ( 2017-01-06 ) ,https://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html. [ R/OL ] . ( 2017-05-13 ) ,https://www.antiy.com/response/Antiy_Wannacry_Protection_Manual/Antiy_Wannacry_Protection_Manual.html.

[ R/OL ] . ( 2017-05-14 ) ,https://www.antiy.com/response/Antiy_Wannacry_Guide.html. [ R/OL ] . ( 2021-09-20 ) ,https://www.antiy.cn/observe_download/observe_296.pdf.

[ R/OL ] . ( 2018-02-28 ) ,https://www.antiy.com/response/20180228.html. [ R/OL ] . ( 2021-11-23 ) ,https://mp.weixin.qq.com/s/oMneQmmYQF5B4nWVulJl1g.

[ R/OL ] . ( 2021-11-23 ) ,https://mp.weixin.qq.com/s/nrbVpjA2-jfTzjojbyFpJA. [ R/OL ] . ( 2021-11-24 ) ,https://mp.weixin.qq.com/s/24bIz-e4_Ts-Th0ecCWfgQ.

[ R/OL ] . ( 2021-11-25 ) ,https://mp.weixin.qq.com/s/RL4E9v4wvazgj2UNdbMypA. [ R/OL ] . ( 2021-11-26 ) ,https://mp.weixin.qq.com/s/Jmz58xQBcytCIWx51yxBTQ.

[ R/OL ] . ( 2021-11-26 ) ,https://mp.weixin.qq.com/s/1wehEDr7dTo-wdJYzfoS-A.http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/P020210908503958931090.pdf.

https://mp.weixin.qq.com/s/nOfhqWiw6Xd7-mvMt2zfXQ.查看原文

免责声明：本站所有信息均搜集自互联网，并不代表本站观点，本站不对其真实合法性负责。如有信息侵犯了您的权益，请告知，本站将立刻处理。联系QQ：1640731186