LockBit Ransomware IOCs

ransomware IOC

Продолжительное время распространяющаяся программа LockBit Ransomware пытается обойти Windows ETW, AMSI и EDR, используя легитимную утилиту командной строки VMware logging. В ходе недавнего расследования команда SentinelOne DFIR обнаружила интересную технику, используемую LockBit Ransomware Group для загрузки Cobalt Strike Beacon Reflective Loader.


LockBit

  • Утилита командной строки VMware VMwareXferlogs.exe, используемая для передачи данных в журналы VMX и из них, подвержена побочной загрузке DLL.
  • LockBit Ransomware-as-a-Service (Raas) осуществляет побочную загрузку Cobalt Strike Beacon через подписанную утилиту командной строки VMware xfer logs.
  • Агент использует PowerShell для загрузки утилиты VMware xfer logs вместе с вредоносной DLL и файлом .log, содержащим зашифрованный Cobalt Strike Reflective Loader.
  • Вредоносная DLL обходит средства защиты, удаляя крючки пользовательского интерфейса EDR/EPP, и обходит трассировку событий для Windows (ETW) и интерфейс сканирования антивирусного ПО (AMSI).

LockBit - это Ransomware as a Service (RaaS), действующая с 2019 года (ранее известная как "ABCD"). Она обычно использует технику двойного вымогательства, применяя такие инструменты, как StealBit, WinSCP и облачные решения резервного копирования для эксфильтрации данных перед развертыванием вымогательского ПО. Как и большинство групп, использующих ransomware, LockBit предпочитает использовать инструмент Cobalt Strike.

LockBit Ransomware Group для загрузки отражающего загрузчика маяка Cobalt Strike. В данном конкретном случае LockBit удалось загрузить Cobalt Strike Beacon через подписанную утилиту командной строки VMware xfer logs.

Боковая загрузка - это техника взлома DLL, используемая для того, чтобы обманом заставить доброкачественный процесс загрузить и выполнить вредоносную DLL путем размещения DLL рядом с соответствующим EXE процесса, используя порядок поиска DLL. В данном случае объект угрозы использовал PowerShell для загрузки утилиты VMware xfer logs вместе с вредоносной DLL и файлом .log, содержащим зашифрованный Cobalt Strike Reflective Loader. Затем утилита VMware выполнялась через cmd.exe, передавая поток управления вредоносной DLL.

Затем DLL обходила защиту, удаляя пользовательские крючки EDR/EPP, а также обходя Event Tracing for Windows (ETW) и Antimalware Scan Interface (AMSI). Затем файл .log был загружен в память и расшифрован с помощью RC4, обнаружив отражающий загрузчик Cobalt Strike Beacon. Наконец, в очередь ставится асинхронный вызов процедуры (APC) в пользовательском режиме, который используется для передачи потока управления расшифрованному Beacon.

Indicators of Compromise

IPv4

  • 149.28.137.7
  • 45.32.108.54

URLs

  • http://45.32.108.54:443/VMwareXferlogs.exe
  • http://45.32.108.54:443/c0000015.log
  • http://45.32.108.54:443/glib-2.0.dll

SHA1

  • 091b490500b5f827cc8cde41c9a7f68174d11302
  • 0c842d6e627152637f33ba86861d74f358a85e1f
  • 1458421f0a4fe3acc72a1246b80336dc4138dd4b
  • 25fbfa37d5a01a97c4ad3f0ee0396f953ca51223
  • 729eb505c36c08860c4408db7be85d707bdcbf1b
  • e35a702db47cb11337f523933acd3bce2f60346d
Добавить комментарий