背景
如今,勒索軟體運營商已經熟練掌握雙重勒索技術。不時就會觀察到許多攻擊者以不同的方式竊取資料,其中一些預先提供依賴於 RClone、FTP 站點等合法服務和工具、一些透過 VPN 竊密,但也有其他攻擊者使用定製的工具。
LockBit 攻擊團伙開發了一種專門用於資料洩露的定製工具,並將其用作樹立其犯罪品牌的標杆。事實上,StealBit 2.0 工具是該攻擊團伙開發的工具集的一部分,以克服大規模資料竊取的難點。
瞭解該工具背後的運作機制和基礎設施是特別有價值的。在分析了最新版本的 StealBit 後,跟蹤了該工具濫用的攻擊基礎設施。
技術分析
|
雜湊 |
3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d |
|
檔案大小 |
52.7KB |
|
ssdeep |
768:FXPkQ2Csnwhxvfhko88yb6cvXbhb7vJawOuArU1o/xnmGP:YLqvZko9ybpvrtvJa/uArU+5nNP |
|
描述 |
LockBit 攻擊團伙採用的資料滲漏程式 |
該樣本缺少元資料欄位,只能獲得位數、入口點和編譯時間戳。
該樣本沒有能生成匯入表雜湊,並不是工具錯誤,而是樣本的匯入表完全是空的,沒有匯入任何 Windows API。
反除錯
即使不呼叫系統 API 也不影響開發者保護程式碼。StealBit 在入口點後就會進行反分析。
這是一種常見的反除錯技術,對程序環境塊(PEB)中特定標誌位(NtGlobalFlags)進行檢查:
mov eax, fs:[30h] ; Load the PEB data structure
mov eax, eax+68h ; Load the value of the “NtGlobalFlags” flag 如果標示為 0x70則表示該程序被除錯,樣本會陷入相同的指令迴圈對抗分析。
動態載入
樣本需要載入其他庫來執行惡意行為,即使不存在 IAT 也會載入三個基本的 DLL 檔案:
為了載入其餘系統 API,StealBit 隱藏了本機 DLL 名稱以匯入棧中。這意味著需要載入的 DLL 檔案的名稱一次一個字元被寫入棧中,然後彈出重新構建所需字串。
上圖為 ws2_32.dll,是用於網路通訊的庫檔案。載入的其他字串如下所示:
樣本在分析中大量使用了棧字串混淆技術對抗分析。
資料洩露
當 C&C 伺服器成功連線時,會啟動資料外帶任務。透過 HTTP 的 PUT方法執行,儘可能快的將資料外帶。
主要的欄位如下所示:
PUT:HTTP PUT 方法
File Hash:要上傳的檔案
HTTP 頭
DAV2 常量頭
配置 ID
完整檔名
檔案的明文內容
構建的請求如下所示:
拋開 LockBit 的宣傳,StealBit 工具實際上並沒有對檔案進行壓縮。事實上,除了系統檔案、登錄檔項、指令碼和特定副檔名(如 .cmd、.msi、.ocx、.cpl、.hta、.lnk、.exe)的檔案外,惡意軟體會選擇性地上傳檔案。
配置提取
惡意軟體的靜態配置資訊被加密保護:
攻擊者使用巧妙的演算法來解密 StealBit 的配置,讀取長為 8 個位元組的金鑰來解碼從偏移量 0x40E250開始的資料。所有的 124個位元組都被解碼時,迴圈結束。
解密前後如下所示:
配置包括一個五字元的 ID,用來標識受害者,另一部分是資料滲漏的 IP 地址。
其他樣本
透過 Yara 規則狩獵其他樣本,如下所示:
|
樣本 |
|
2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66 |
|
4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0 |
|
07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae |
|
3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d |
|
bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e |
|
ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2 |
|
107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636 |
樣本完全是相似的:
提取的配置如下所示:
|
雜湊 |
編譯時間戳 |
ID |
IP地址 |
|
07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae |
2021-07-12 04:58:17 |
84AFC |
93.190.143.101 139.60.160.200 193.162.143.218 193.38.235.234 45.227.255.190 |
|
107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636 |
2021-07-31 07:09:59 |
J29EV |
93.190.139.223 168.100.11.72 139.60.160.200 193.38.235.234 174.138.62.35 |
|
2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66 |
2021-07-31 07:09:59 |
D26VN |
174.138.62.35 93.190.143.101 139.60.160.200 193.38.235.234 193.162.143.218 |
|
3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d |
2021-07-31 07:09:59 |
LCPA0 |
88.80.147.102 168.100.11.72 139.60.160.200 193.38.235.234 174.138.62.35 |
|
4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0 |
2021-07-12 04:58:17 |
4ATGY |
139.60.160.200 193.38.235.234 193.162.143.218 45.227.255.190 185.215.113.39 |
|
bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e |
2021-07-31 07:09:59 |
D26VN |
174.138.62.35 93.190.143.101 139.60.160.200 193.38.235.234 193.162.143.218 |
|
ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2 |
2021-07-12 04:58:17 |
84AFC |
93.190.143.101 139.60.160.200 193.162.143.218 193.38.235.234 45.227.255.190 |
攻擊基礎設施分析
不同的攻擊行動間的關係並不明確,但是這些惡意 IP 地址也發現了相關的攻擊行動。
|
IP |
計數 |
Whois |
發現 |
|
139.60.160.200 |
7 |
HOSTKEY-USA US |
|
|
168.100.11.72 |
2 |
BLNETWORKS-01 US |
2021年8月針對義大利銀行的釣魚 |
|
174.138.62.35 |
4 |
DIGITALOCEAN-174-138-0-0 US |
|
|
185.215.113.39 |
1 |
SC-ELITETEAM-20201113 SC |
2021年2月移動惡意軟體傳播 |
|
193.162.143.218 |
5 |
FirstByte RU |
|
|
193.38.235.234 |
7 |
VDSINA-NET RU |
2021年8月,RDP名為 WIN-R84DEUE96RB 和 WIN-5ODCFIGQRP3 |
|
45.227.255.190 |
3 |
Okpay Investment Company PA-OICO-LACNIC |
2021年4月掃描/攻擊MongoDB |
|
88.80.147.102 |
1 |
BelCloud-net BG |
|
|
93.190.143.101 |
4 |
WORLDSTREAM NL |
2020年傳送垃圾郵件 |
|
93.190.139.223 |
1 |
WORLDSTREAM NL |
結論
LockBit 已經成為最活躍的攻擊團伙之一,StealBit 等資料竊取工具將會為公司帶來更多威脅。
IOC
07a3dcb8d9b062fb480692fa33d12da05c21f544492cbaf9207956ac647ba9ae
2f18e61e3d9189f6ff5cc95252396bebaefe0d76596cc51cf0ade6a5156c6f66
3407f26b3d69f1dfce76782fee1256274cf92f744c65aa1ff2d3eaaaf61b0b1d
4db7eeed852946803c16373a085c1bb5f79b60d2122d6fc9a2703714cdd9dac0
bd14872dd9fdead89fc074fdc5832caea4ceac02983ec41f814278130b3f943e
ced3de74196b2fac18e010d2e575335e2af320110d3fdaff09a33165edb43ca2
107d9fce05ff8296d0417a5a830d180cd46aa120ced8360df3ebfd15cb550636
139.60.160.200
168.100.11.72
174.138.62.35
185.215.113.39
193.162.143.218
193.38.235.234
45.227.255.190
88.80.147.102
93.190.143.101
93.190.139.223
Yara
rule stealbit_decode {
meta:
description = "Yara Rule for StealBit Configuration decryption"
author = "Yoroi Malware Zlab"
last_updated = "2021_09_01"
tlp = "white"
category = "informational"
strings:
decode_Conf = { 8b c1 83 e0 0f 8a 8? ?? ?? ?? ?? 30 8? ?? ?? ?? ?? 41 83 f9 7c }condition:
all of them
}
