ToB企服应用市场:ToB评测及商务社交产业平台

标题: 【病毒分析】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附 [打印本页]
作者: 宁睿    时间: 2025-1-2 01:53
标题: 【病毒分析】lockbit家族百万赎金不必付!技术手段修复被加密的数据库,附
1. 背景

1.1 事件背景

  11月2日,某科技公司告急接洽我司团队求助,称其公司共有20余台服务器被勒索病毒加密。通过勒索信中提供的TOX(即时通讯软件),该公司尝试与黑客取得接洽并展开会商,在初次会商中,当用户询问赎金费用时,黑客开出了20万美元(约合150万元人民币)的要价。

  该赎金费用远远超出用户的预算,因此用户再次询问单个ID的规复费用是否与规复所有ID的费用一致。黑客的回复是,规复所有ID的费用为20万美元(约合150万元人民币),而规复单个ID的费用为15万美元(约合100万元人民币)。

  然而,只管用户尝试与黑客沟通并表达了经济困难,但黑客并未作出任何回应,且明确表示15万美元的赎金费用为最终报价,拒绝接受任何贬价方案。由于该赎金金额远远超出了公司的承受范围,且无法确保支付赎金后数据能够乐成规复,公司决定不再与黑客继续交涉,而是转向寻求我司的专业技术支持,希望通过技术手段规复数据,确保业务能够尽快规复正常。

1.2 处理效果

  在前期排查过程中,我们乐成提取到了该加密器样本,并对其进行了深入分析。根据客户的反馈,其受感染数据对于业务运营至关紧张,而服务器环境和业务系统则可以重新配置后再导入数据。基于这一实际情况,我们将工作重点明确为优先规复数据,确保客户关键业务尽快规复正常,同时为后续环境重建和系统优化做好技术支持准备。
  在提取被加密的MSSQL数据库文件后,我们发现受影响的MSSQL数据库文件仅有头部被加密,这为数据规复提供了大概性。在与客户协商后,我们决定提取所有被加密的数据库文件,会合进行规复操作。同时,客户配合重置业务环境并重新搭建系统框架,以确保规复后的数据能无缝导入新环境。整个流程旨在最大限度地缩短业务停止时间,规复完成后将直接导入数据,确保业务快速回归正常运行。我们的计划不仅进步了数据规复效率,还为客户节省了宝贵的运营时间。

  最终,我们乐成交付了规复后的数据库文件,客户在验证后确认,规复的数据库文件完整无误,可正常导入且未发现数据罅漏,各项功能均可正常使用。后续,文章会对本次数据库规复的技术细节进行扼要讲解和阐明,以便为更多类似情况提供参考。

1.3 lockbit家族介绍

  LockBit 3.0(也称为 LockBit Black)是LockBit 勒索软件的新变种。前身LockBit最早出现在2019年,安全研究职员一度将其称为ABCD(由于早期变种将加密文件的扩展名改为.abcd)。 2021年,发布Lockbit2.0版本,也称Lockbit RED,加入了双重勒索攻击、删除磁盘卷影和日志文件等新功能。同时还内置了一款名为StealBit的数据盗取木马,该木马是为了支持LockBit Raas附属机构从受害者公司快速盗取敏感数据。被加密后的文件以.lockbit末了,留下文档Restore-My-Files.txt。 2022年,Lockbit3.0发布,又名LockBit Black,成为举世规模最大的勒索软件变种,且在2023年、2024年继续肆虐。
1.4 lockbit构建器泄露

  在 2022 年 9 月,Twitter 用户 3xp0rtblog 公布该勒索软件的构建器已被 ali_qushji 泄露,可以从 GitHub 上下载。
  “招募合作伙伴”:是指LockBit勒索软件运营者主动寻找和吸纳其他人或组织作为合作伙伴或部属,共同参与勒索软件攻击运动。
  针对lockbit构建器泄露的分析文章可参考001.Lockbit 3.0勒索病毒加密程序分析陈诉

  LockBit 3.0 Builder 在 Twitter 上泄露

  LockBit 3.0 构建器
1.5 家族特征

  通过对本次捕捉的加密器样本和勒索信内容的分析,我们发现其与正版 LockBit 3.0 家族存在显着差别:首先,勒索信的语言以中文版为主,缺少 LockBit 3.0 常见的多语言支持;其次,勒索信中未标注家族名称,暗网地点不具备 LockBit 家族的典范特征且现在无法访问;此外,信中额外提供了 TOX 和邮箱等多种接洽方式,但对比 LockBit 3.0 官方暗网中的 TOX ID,发现其并不一致。综合这些差别,我们开端判断这是一个基于 LockBit 3.0 加密器泄露版本的构造样本,非正版家族攻击行为。
1.5.1 勒索信对比


  原始勒索信内容
  1. ~~ LockBit 3.0 the world's fastest and most stable ransomware from 2019~~~
  3. >>>>> Your data is stolen and encrypted.
  5. BLOG Tor Browser Links:
  6. http://lockbitxxxxxxiocyo5epmpy6klmejchjtzddoekjlnt6mu3qhxxxxxx.onion/
  7. http://lockbitxxxxxx3katajf6zaehxz4h4cnhmz5t735zpltywhwpcxxxxxx.onion/
  8. http://lockbitxxxxxxetlc4tl5zydnoluphh7fvdt5oa6arcp2757r7xxxxxx.onion/
  9. http://lockbitxxxxxxki62yun7z5nhwz6jyjdp2c64j5vge536if2exxxxxx.onion/
  10. http://lockbitxxxxxxuquhoka3t4spqym2m3dhe66d6lr337glmnlggxxxxxx.onion/
  11. http://lockbitxxxxxxuo3qafoksvl742vieqbujxw7rd6ofzdtapjb4rxxxxxx.onion/
  12. http://lockbitxxxxxxdgtojeoj5hvu6bljqtghitekwpdy3b6y62ixtxxxxxx.onion/
  14. >>>>> What guarantee is there that we won't cheat you?
  15. We are the oldest ransomware affiliate program on the planet, nothing is more important than our reputation. We are not a politically motivated group and we want nothing more than money. If you pay, we will fulfill all the terms we agree on during the negotiation process. Treat this situation simply as a paid training session for your system administrators, because it was the misconfiguration of your corporate network that allowed us to attack you. Our pentesting services should be paid for the same way you pay your system administrators salaries. You can get more information about us on Ilon Musk's Twitter https://twitter.com/hashtag/lockbit?f=live
  17. >>>>> You need to contact us on TOR darknet sites with your personal ID
  19. Download and install Tor Browser https://www.torproject.org/
  20. Write to the chat room and wait for an answer, we'll guarantee a response from us. If you need a unique ID for correspondence with us that no one will know about, ask it in the chat, we will generate a secret chat for you and give you his ID via private one-time memos service, no one can find out this ID but you. Sometimes you will have to wait some time for our reply, this is because we have a lot of work and we attack hundreds of companies around the world.
  22. Tor Browser personal link for CHAT available only to you (available during a ddos attack):
  23. http://lockbit74beza5z3e3so7qmjnvlgoemscp7wtp33xo7xv7f7xtlqbkqd.onion
  25. Tor Browser Links for CHAT (sometimes unavailable due to ddos attacks):
  26. http://lockbit5eevg7vec4vwwtzxxxxxxap6oxbic2ye4mnmlq6njnpc47qd.onion
  27. http://lockbit74beza5z3e3so7xxxxxxmscp7wtp33xo7xv7f7xtlqbkqd.onion
  28. http://lockbit75naln4yj44rg6exxxxxx7up4kxmmmuvilcg4ak3zihxid.onion
  29. http://lockbit7a2g6ve7etbcy6iyixxxxxxeffz4szgmxaawcbfauluavi5jqd.onion
  30. http://lockbitaa46gwjck2xzmxxxxxx4x3aqn6ez7yntitero2k7ae6yoyd.onion
  31. http://lockbitb42tkml3ipianjxxxxxxhcshb7oxm2stubfvdzn3y2yqgbad.onion
  32. http://lockbitcuo23q7qrymbk6dxxxxxxtspjvjxgcyp4elbnbr6tcnwq7qd.onion
  34. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  35. >> Your personal Black ID:  <<
  36. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  38. >>>>> Warning! Do not delete or modify encrypted files, it will lead to problems with decryption of files!
  40. >>>>> Don't go to the police or the FBI for help and don't tell anyone that we attacked you.
复制代码
  泄露版勒索信内容
  1. >>>> 我們是一個駭客組織,您的資料已被竊取並且加密,
  3. 為了不擴大損失,您要立即聯絡我們,或寻找资料复原公司联系我们。
  5. 不要啰嗦,我们很忙,我們的加密軟體,網路上無法解密!
  7. 您需要支付價值人民幣五十萬約等於1BTC 給我們幫您解密被加密檔案。
  9. >>>> 您需要聯絡我們並使用您的個人解密 ID 傳送一個被加密文件給我們,免費幫您解密一個文件
  11. >>>> 發送ID和一個加密檔案到: d6616151321813261@onionmail.org
  12. >>>> 備用信箱:2189321765132@cock.li
  13. >>>> 您的個人解密 ID:
  15. Tox ID:XXXXXX5C6149FC57090DAC622184327326457BCDF5D6C45528083DBBE21A6EC927CFC1F8BD
  17. TOR網站可以看到您洩漏的秘密:http://h3osabcqrbkutyrh77nptes44pqzldj5rk5mxnv46mmrapesp565bsyd.onion/
  18.                           http://2xyr7jug4b5uhndzelsf7vgrxygttutc6h5mqzpwp7y6blk6owhxliqd.onion
  19. 您可以透過:幣安/火幣,歐易等虛擬貨幣交易所購買比特幣支付,這是一個很方便的過程!
  21. 寫信聊天並等待答复,我們將始終答复您。
  22. 有時您需要等待我們的答复,因為我們攻擊許多公司。
  24. >>>> 警告! 不要刪除或修改任何文件,這可能會導致恢復問題!
  26. >>>> 警告! 如果您不支付贖金,我們將再次多次攻擊您的公司!
复制代码
1.5.2 暗网地点对比

  原始暗网地点
  1. http://lockbitxxxxxxcyo5epmpy6klmejchjtzddoekjlnt6mu3qh4de2id.onion/
复制代码

  泄露版暗网地点
  本次捕捉的勒索信中提到的暗网地点均无法访问,返回效果为404,推测这是攻击者采用的虚张阵容手段,旨在通过伪造的接洽方式增加受害者的恐慌感和可信度,从而更轻易迫使其支付赎金。
  1. http://xxxsabcqrbkutyrh77nptes44pqzldj5rk5mxnv46mmrapesp565bsyd.onion/
  2. http://xxxr7jug4b5uhndzelsf7vgrxygttutc6h5mqzpwp7y6blk6owhxliqd.onion
复制代码

2. 逆向分析

  以下内容为该加密器逆向分析的重点摘要,更多详细信息请参考完整文章内容030.【病毒分析】繁体勒索信暗藏玄机!要价50万RMB赎金的Lockbit泄露版分析
  在关闭相关服务与进程后,创建多线程用于等待加密,创建的线程数 = 处理器内核总数 * 2 + 1,并且创建IO端口用于协作加密

  创建好加密线程后通过三种方式对文件进行检索和加密,每种模式加密都会生成差别的密钥:

  对磁盘进行递归,判断路径是否是目录和要加密的文件

  获取文件路径

  更改文件安全描述符

  首先获取文件指针,将文件属性设为隐藏属性,设置文件指针到末了-132处,读取文件,校验

  计算校验和

  加密线程根据得到的加密布局体偏移0x28的值来决定当前执行的操作,该处的值有以下四种:
  - 0(读取):根据偏移0x398处值向0x39C读入相应大小的文件内容,然后将偏移0x28的值修改为1,当文件内容读取完后会修改为2。

  - 1(加密):使用偏移0x318解密后的128字节密钥对文件内容进行加密,加密文件内容后对该128字节密钥再次加密,加密轮数减1,通过判断加密轮数为0时则会将模式修改为2,否则将模式修改为1继续读取文件内容,固定加密前0x20000字节

  - 2(追加信息):将解密文件所需的内容追加到文件末了,然后将模式修改为3,准备结束加密过程。

  - 3(结束):结束当前文件的加密。

  综上,加密流程大致如下

3. 数据库规复

  以下内容为数据库规复的技术细节阐明,基于模仿测试环境进行操作,并非真实案例中的客户数据。本文旨在对本次数据库规复的关键步骤和技术方法进行扼要讲解,为类似场景提供技术参考与引导。
3.1 内容对比

  使用十六进制检察工具进行观察,上方为正常mdf,下方为被加密mdf,可发现仅有头部被加密。

  被加密的数据库文件头部在缩略检察时通常体现为十分杂乱,通过计算文件的熵值也能验证这种加密所带来的杂乱
  sierting.mdf.X3rmENR07:

  sierting.mdf:

  通过分析被加密文件,可发现加密偏移量范围为000000h-4FFFF0h,即头部5MB

  因此我们在没有任何备份的时候,可以以遗失较少数据为代价进行规复
3.2 数据规复

  这里我们使用D-Recovery SQL Server作为规复工具
  由于加密损坏了表布局,因此首先需要准备一个表布局一致的mdf作为参照mdf

  规复后的的记录条数 25600059条

  正常数据库的记录条数 26501904条

  通过最简单的修复,发现修复率能够达到96.6%
3.3 缘故原由分析

  勒索团伙通常追求快速加密,以最大限度地缩短受害者的响应时间。因此,当文件大小超过设定的阈值时,他们往往采用部门加密战略,以进步加密效率并淘汰加密耗时。
4. 溯源分析

  为了更好地保护客户的敏感信息,本次溯源将模仿搭建一个与客户实际环境相仿的网络架构,重现大概的黑客攻击路径与流程。在模仿过程中,我们将深入分析黑客怎样渗透、传播、扩展权限并最终达成攻击目的,确保读者能够全面了解和应对各种大概的安全威胁。
4.1 黑客攻击路线图


  NAS、ESXI、Veeam、数据库服务器均无法正常使用,且所有数据均已被加密


4.2 域:set.com

  工程师首先对最主要的Veeam备份服务器进行排查,长途登录后发现服务器遭受Lockbit3勒索家族的攻击,黑客通过漏洞添加用户后在11月27日11:41:16执行加密器,最终所有备份文件均被加密。

  由于Veeam的网络战略为仅ESXI服务器可访问,由此可知勒索团伙是完成攻击ESXI后横向至Veeam备份服务器。并且ESXI已加入到域中,攻击者在获取域控后通过漏洞CVE-2024-37085将域管理员administrator添加到创建的恶意用户组 ESX Admins中,实现对ESXI后台接受。

  在域控服务器DC03中可以看到该条日志,攻击者在27号11月27日11:36:07执行了CVE-2023-27532漏洞EXP,经测试最终能够确认就是通过该漏洞实现入侵Veeam。

  呆板账户DC3$频繁出现登岸登出和wmi连接的情况,并且随后域管账户administrator就以LogonType3的形式登岸乐成


  推测以上行为是攻击者利用域控漏洞Zerologon实现dump管理员hash,攻击IP为10.0.10.12
  在组战略的计划使掷中发现了定时加密的计划使命,黑客将加密器和执行脚本放置在域控的共享目录中,该使命将会在对所有域主机执行run.bat。从而达到对大量目的快速加密,其中就包括由于通过SMB挂载到某主机上的NAS。

4.3 域:sub.set.com

  IP 10.0.10.12为该子域的域控,被攻击者作为攻击父域的跳板机,在该主机的日志中发现10.0.10.42依然在和通信

  排查10.0.10.42的服务器,发现了攻击者并未关闭攻击窗口,其利用rubeus配合printspooler漏洞,导致域控TGT泄漏,从而利用dcsync获取域管的hash。


  42的服务器是一台web服务器,分析其日志发现login.aspx有较大的大概性存在漏洞。后经过代码审计,存在下令执行漏洞,但是该系统需要鉴权,账号暗码获取方法还需要继续分析。

  结合实际日志,也能看到IIS用户调用powershell进程

  攻击上一级指向了10.0.10.40
4.4 域:set.local

  10.0.10.40是该域中的数据库,在日志中发现10.0.100.15在11月18日11:35:30初次登岸了该服务器并且开启了clr,经确认sa暗码为弱口令。


  最终通过clr下令执行 获取权限后通过土豆提权

  10.0.10.41为sql数据库2,客户配置的环境中可以用Windows身份验证登岸两台数据库,最终攻击者获取了web的账号暗码。
4.5 汇总

  本次安全事件的溯源分析揭示了攻击者通过多个环节逐步渗透并加密了客户环境中的关键系统。攻击者首先通过弱口令入侵了数据库服务器(10.0.10.40)。在日志中发现,攻击者在11月18日初次使用弱口令登录该服务器,并乐成启用CLR,随后通过提权工具得到了更高权限。攻击者利用这一权限继续扩展攻击。
  接下来,攻击者通过SQL数据库的Windows身份验证机制,在客户环境中的第二台数据库服务器(10.0.10.41)上得到了Web应用的账号暗码用于攻击WEB01。
  攻击者乐成攻击下WEB01后,该主机成为攻击域控dc02的跳板,攻击者利用Rubeus工具结合PrintSpooler漏洞泄露了TGT票证,并通过DCSync攻击获取了域管理员的哈希值,进一步获取了子域控的完全控制权限。
  随着子域控权限的获取,攻击者开始横向渗透至主域,通过Zerologon乐成获取set.com的权限,后通过漏洞CVE-2024-37085获取ESXI权限。利用ESXI搭设代理并使用CVE-2023-27532攻击Veeam,乐成入侵并加密了所有备份文件。
  最终,攻击者通过在域控DC03组战略中设置定时使命,执行加密器脚本,通过SMB协议影响了挂载到某主机上的NAS,并乐成加密了大量数据。
5. 安全加固建议和修复方法

  1、杜绝弱口令,包括数据库、WEB、系统等各类服务,对口令强度需要有要求并定期修改。
  2、克制无束缚委派,使用目的束缚委派并审计委派配置。
  3、遵循最小权限原则,定期审查和更新权限配置,确保仅授予须要权限。
  4、定期更新系统和应用版本,实时安装安全补丁,避免使用逾期的软件。
  5、Veeam Backup漏洞官方修复补丁:https://www.veeam.com/products/downloads.html

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4