Lockbit Ransomware
20/02/20222019 Eylül ayından beri görülen ve daha önce “.abcd” fidye yazılımı olarak bilinen saldırının son varyantı Lockbit ransomware (2.0)’dır. Hedef ağ üzerine sızıldıktan sonra mimikatz gibi açık kod kaynaklı araçları kullanarak yetki yükseltme yapar. Daha sonrasında hedef sistem üzerinde şifreleme yaparak bir fidye notu bırakır.
Başlangıç Erişimi (Initial Access)
Fidye yazılımının karşıt ağ üzerinde çalışabilmesi için hedef sisteme sızması gerekir. Bu sızma fiziksel veya web üzerinden olabilir. Phishing, Web’e açık uygulama ihlalleri, Zero-Day, zayıf parola, ifşa edilmiş RDP, VPN bilgileri veya bu protokollere yapılan Brute-Force saldırıları fidye yazılımının hedef ağa bulaşmasına sebebiyet verebilir.
Bulaşma (Infection)
Zararlı yazılım kullanıcı dil bilgilerini kontrol ederek sisteme zarar verme konusunda karar verir, Eğer dil bilgileri Doğu Avrupa olarak algılanırsa fidye yazılımı sisteme bulaşmadan çıkış sağlar. Dil bilgileri yazılım filtresi ile eşleşmez ise, gerekli çözümleyicilerin kontrolünü sağlar, eğer yetki yeterli değilse mimikatz gibi araçlarla yetki yükseltmesi (privilege escalation) gerçekleştirir. Daha sonrasında verilerin tekrar kurtarılmasının engellemek adına sistem üzerinden Shadow-Copy’lerini siler. Sistem, host konfigürasyon, uzak paylaşım ve depolama cihazlarının bilgilerini sıralar ve temel işletim sistemi fonksiyonlarını hariç tutarak şifreleme işlemine başlar. Lockbit sızılan ağı hiç bir insan müdalesi gerekmeden şifreleyebilir, sistem üzerinde kendisini kopyalayabilir ve SMB, RDP protokollerini kullanarak lateral movement gerçekleştirebilir. Daha sonrasında dışarı veri çıkarmak için genellikle Stealbit uygulamasını kullanarak HTTP üzerinden dışarı veri çıkarır. Bu aşamada saldırgan, Rclone veya MEGAsync uygulamalarını da kullanabilir.
Lockbit’in çok tehlikeli olmasının sebeplerinden biri de şifreleme hızının fazla olmasıdır. AES (simetrik) şifreleme kullanarak sistemi hızlı bir şekilde şifreler.
Saldırı Belirteçleri (Indicators- IOC)
Dil Belirteçleri
Fidye yazılımının dil filtresi için kullandığı kodları ve filtreleri aşağıdaki gibidir.
Liste görünümü:
Liste kontrolü gerçekleştirerek , kullanıcı dili Doğu Avrupa Ülkesi ise sistemden çıkar.
Poweshell Komutları
Fidye yazılımının sistem üzerinde çalışması süresince powershell hareketleri aşağıdaki gibidir.
Veri kurtarmasını engellemek için shadow-copy’leri siler.
Veri kurtarmasını engellemek için Win10 kurtarmasını etkisizleştirir.
Boot hatalarını yok sayar.
Güvenlik log’larını siler.
Sistem log’larını siler.
Uygulama log’larını siler.
Kendisini sistem üzerinden siler.
Sistemdedki tüm shadow-copy’leri siler.
Registery Keys
Key:HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\ICM\Calibration
Data:< Lockbit 2.0 Ransomware path >
Key:HKEY_CLASSES_ROOT\Lockbit\shell\Open\Command
Data:"C:\Windows\system32\mshta.exe" "C:\Users\\Desktop\LockBit_Ransomware.hta"
Key:HKEY_CLASSES_ROOT\Lockbit\DefaultIcon
Data:C:\Windows\< First 6 characters of LockBit 2.0 Decrytion ID >.ico
Key:HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{GUID}
Data:C:\Useres\< username >\Destktop\Lockbit_Ransomware.hta
Data:< Lockbit 2.0 Ransomware path >
Key:HKEY_CURRENT_USER\Software\< LockBit2.0ID >\Private
Key:HKEY_CURRENT_USER\Software\< LockBit2.0ID >\Public
Lockbit 2.0 İkon Lokasyonu:HKEY_LOCAL_MACHINE\Software\Classes\.lockbit\DefaultIcon
Key:HKEY_CURRENT_USER\Control Panel\Desktop
String Value:%APPDATA%\Local\Temp\.tmp.bmp
String Value:TitleWalpaper = 0
String Value:WalpaperStyle = 2
C:\Users\< username >\Desktop\LockBit_Ransomware.hta (LockBit 2.0 hta file)
C:\Windows\< username >\Appdata\Local\Temp\< LockBit 2.0 Walpaper >.tmp.bmp (Lockbit 2.0 Wallpaper)
[General]
Versions= %s
DisplayName=%s
[Software\Policies\Microsoft\Windows Defender;DisableAntiSpyware]
[ Software\Policies\Microsoft\Windows Defender\ Real-Time Protection;DisableRealTimeMonitoring]
[ Software\Policies\Microsoft\Windows Defender\Spynet;SubmitSamplesConsent]
[ Software\Policies\Microsoft\Windows Defender\Threats;Threats_ThreatsSeverityDefaultAction]
[ Software\Policies\Microsoft\Windows Defender\UX Configuration;Notification_Suppress]
powershell.exe -Command “Get-ADComputer -filter * -Searchbase ‘%s’ | foreach{ InvokeGPUpdate -computer $_.name -force -RandomDelayInMinutes 0}”
C:\Windows\System32\cmd.exe /c vssadmin delete shadows /all /quiet & wmic shadowcopy delete & bcdedit /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
.lockbit
Restore-My-Files.txt
Şifreleme ve Veri Çalma (Encryption and Data Exfiltration) - Stealbit
Stealbit veri çalınmasını sağlayan yüksek derecede obfuscated bir uygulamadır. Verileri sızdırma etkinlik verimliliğini en üst düzeye çıkarmak için Microsoft input/output (I/O) modelini uygular. Veri sızdırma işlemi ne kadar hızlı ve etkinliği yüksek olursa tespit edilme şansıda bu etkenle orantılı olarak düşer.
Stealbit Sistem üzerinde bitwise operasyonlar kullanarak gerekli string ve modülleri yükler. Veri çıkarmak için bağlantı kurulan IP adresleri ECX registeri içerisinde sayılan değer ile mantıksal “and” operasyonunu kullanarak şifreler.
Key: 0xF8 0x72 0x12 0x13 0xA6 0x25 0x3C 0xE3 0xF9 0x91 0x2E 0x18 0x20 0x22 0x76
Encode Edilerek Gömülen IP Adresleri
Örnek String Encode Ve Decode Rutini
Decode Edilen IP Adres Listeleri
Runtime Süresi Boyunce Decode İşleminin Gerçekletirilmesi
Stelabit URL Örneği
hxxp://185.182.193.120/06599379103BD9028AB56AE0EBED457D0
Ağ Belirteci
Host komuta kontrol sunucusu ile iletişimi kurduğunda HTTP protkolü çerçevesince PUT metodu ile 32-33 uzunluğundaki bir hexadecimal ile sunucuya istek atar. Örnek olarak :
Kendini Silme Komutu
Hash Kayıtları
MD5 | SHA-1 | SHA-256 |
---|---|---|
af9ff037caca1f316e7d05db86dbd882 | 844e9b219aaecb26de4994a259f822500fb75ae1 | f3e891a2a39dd948cd85e1c8335a83e640d0987dbd48c16001a02f6b7c1733ae |
4d25a9242eac26b2240336fb94d62b1e | c7b2d4a22f788b1b942f993fff33f233dca960ce | f32e9fb8b1ea73f0a71f3edaebb7f2b242e72d2a4826d6b2744ad3d830671202 |
b7f1120bcff47ab77e74e387805feabe | a185904a46b0cb87d38057fc591a31e6063cdd95 | 4de287e0b05e138ab942d71d1d4d2ad5fb7d46a336a446f619091bdace4f2d0a |
84866fca8a5ceb187bca8e257e4f875a | 038bc02c0997770a1e764d0203303ef8fcad11fb | acad2d9b291b5a9662aa1469f96995dc547a45e391af9c7fa24f5921b0128b2c |
f91095ae0e0632b0f630e0c4eb12ba10 | 6c4040f2a76e61c649e1ff4ac564a5951c15d1fa | 717585e9605ac2a971b7c7537e6e311bab9db02ecc6451e0efada9b2ff38b474 |
6fc418ce9b5306b4fd97f815cc9830e5 | 95838a8beb04cfe6f1ded5ecbd00bf6cf97cd564 | 0545f842ca2eb77bcac0fd17d6d0a8c607d7dbc8669709f3096e5c1828e1c049 |
b0916724ff4118bf213e31cd198c0afd | 12ac32d012e818c78d6db790f6e11838ca75db88 | 4bb152c96ba9e25f293bbc03c607918a4452231087053a8cb1a8accb1acc92fd |
66b9ccb41b135f302b3143a5d53f4842 | 3d532697163e7c33c7c906e8efbb08282d3efd75 | d089d57b8b2b32ee9816338e96680127babc5d08a03150740a8459c29ab3ba78 |
MITRE ATT&CK MATRİSİ
Etkilenen Sistemler
Aşağıdaki sistemin etkilendiği belirtilmiştir;
Önerilen Korunma Yöntemleri