Contents
ランサムウェア「LockBit2.0」の/内部構造を紐解く https://www.mbsd.jp/research/20211019/blog/
LockBit 2.0 ランサムウェアとは?感染経路や感染時の対応・調査方法を解説|デジタルデータフォレンジック https://digitaldata-forensics.com/column/cyber_security/702/
https://www.kaspersky.co.jp/resource-center/threats/lockbit-ransomware LockBitランサムウェアとは Kanpersky /自律的な拡散能力
Windowsコンピューターシステムに備わっているツールをさまざまな手法で利用します。 そのため、エンドポイントセキュリティシステムでは悪意のある行動を検知することが難しくなっています。
LockBit 2.0が用いる感染チェーン https://www.trendmicro.com/content/dam/trendmicro/global/ja/research/21/h/ransomware-lockbit-2-0-is-spreading-its-range-of-attacks-describing-its-attack-routine-that-brings-damage-to-japan-and-other-regions/image-03.jpg
asking for an average ransom of around $40,000 per organization.
1. LockBit 2.0
【脅威分析レポート】LockBit 2.0 – すべての道は身代金に通じる 2022/06/14 https://www.cybereason.co.jp/blog/threat-analysis-report/8411/
攻撃者は、Windowsのセキュリティ機能を改ざんすることで自らの足跡を消し去り、 バックアップや復元機能を削除して暗号化されたデータを復元する可能性を排除した後、 被害端末のファイルを暗号化する作業を進めます。
ランサムウェア「LockBit2.0」の内部構造を紐解く 2021.10.19 吉川孝志, 菅原圭 https://www.mbsd.jp/research/20211019/blog/
LockBit 2.0: How This RaaS Operates and How to Protect Against It By Amer Elsad, JR Gumarin and Abigail Barr June 9, 2022 at 6:00 AM
https://unit42.paloaltonetworks.com/lockbit-2-ransomware/
https://unit42.paloaltonetworks.jp/lockbit-2-ransomware/
https://news.mynavi.jp/techplus/article/20220711-2396179/
1.1. 分析目次
https://www.mbsd.jp/research/20211019/blog/
■概要 ■表層解析 ■耐解析機能(解析を妨害する機能) ■感染環境の言語チェック ■UAC Bypassによる権限昇格 ■多重起動を防ぐミューテックス(Mutex)の作成 ■不意のシャットダウンに備えた暗号化の再開手口 ■シャットダウン時に最後まで居残る手口 ■プロセスの強制終了とサービスの停止 ■ゴミ箱を空にする ■隠しパーティションのスキャンと強制ドライブマッピング ■ファイル暗号化処理の高速化 ■「I/O完了ポート」の採用による処理の高速化 ■「AES-NI」の活用による暗号化処理の高速化 ■ファイルの先頭部分のみの暗号化による高速化 ■LockBit2.0のファイル暗号化ロジックの詳細 ■書き込みが禁止されているファイルの属性変更 ■ファイルの暗号化から除外する対象 ■LockBit2.0に暗号化されたファイルのアイコン ■LockBit2.0のバグ(暗号化が途中で失敗するミス) ■LockBit2.0のバグ(多重暗号化を発生させるミス) ■LockBit2.0のバグ(「.lock」ファイルのチェックミス) ■ドメインコントローラでの動作 ■LockBit2.0のバグ(作成されたタスクのミス) ■デスクトップ壁紙の変更 ■脅迫文が記述されたテキストファイルの作成 ■HTAファイルによる脅迫文の表示 ■プリンタを利用した脅迫文の物理的な印刷(約一万枚) ■インシデント対応や復旧作業を妨害する処理 ■フォレンジックを意識した自身の抹消処理 ■D&D(drag and drop)に対応 ■LockBit2.0が隠し持つGUI(隠しウインドウ)の発見
1.2. history
インシデント対応や復旧作業を妨害する処理 LockBit2.0は以下のコマンドをcmdの引数として実行することで、システムのバックアップ(ボリュームシャドウコピー)や、イベントログを削除し、インシデント対応や復旧作業を妨害する処理を行います。
■フォレンジックを意識した自身の抹消処理 LockBit2.0は全ての活動が終了すると、自身のEXEファイルを削除しますが、その際、単純な削除(Delete)ではなく、 LockBit2.0のEXEファイルが存在するハードディスクの位置の先頭から512KB分のハードディスク領域を直接0で埋め尽くすことでファイルを破損させ完全に破壊した上で削除します。 具体的には、fsutilコマンドを使用し「Data offset」と「length」によってサイズ範囲を指定した上で0埋めした後 Delコマンドによってファイルを削除します。