19 Nuances de LockBit5.0, À l’intérieur du Dernier Rançongiciel Multi-Plateforme : Partie 1
Suivre
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
L’article passe en revue 19 échantillons de ransomware LockBit 5.0 conçus pour cibler Windows, Linux, et VMware ESXi. Il met en avant le chiffrement rapide utilisant ChaCha20, le design multiplateforme de la famille, et le comportement axé sur ESXi qui peut éteindre les machines virtuelles avant de chiffrer leurs disques. L’article décrit les étapes d’exécution, les mesures anti-analyse, et les cibles de fichiers spécifiques à l’hyperviseur que le malware priorise lors de l’impact.
Enquête
Les chercheurs ont mené une analyse statique des variantes ELF, extrayant les chemins intégrés, les chaînes de commande, et les commutateurs de configuration. Sur ESXi, le malware utilise les outils de gestion VMware (y compris vim-cmd) pour énumérer et arrêter les VMs avant le chiffrement des disques, et inclut des vérifications anti-débogage pour des outils comme valgrind et frida. L’échantillon écrit la télémétrie d’exécution dans /var/log/encrypt.log et prend en charge l’auto-suppression après avoir terminé sa routine.
Atténuation
Surveillez les hôtes ESXi pour l’utilisation inattendue de commandes administratives VMware, les événements d’arrêt de VM non planifiés, la création de /var/log/encrypt.log, et les artefacts tels que les marqueurs .vmdk.fastpass. Réduisez l’exposition en empêchant l’exécution ELF non fiable sur les hyperviseurs et en appliquant une liste blanche stricte pour les binaires et scripts autorisés à s’exécuter sur ESXi.
Réponse
Si une activité est détectée, isolez l’hôte ESXi affecté, arrêtez les processus VM pour contenir la propagation, et préservez les preuves forensiques (la charge utile ELF, encrypt.log, et les journaux d’hôte pertinents). Commencez la récupération à partir de clichés/ sauvegardes vérifiés propres, puis balayez pour des composants de ransomware supplémentaires et validez l’intégrité des fichiers critiques de l’hyperviseur.
graph TB %% Définitions de classes classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#e6e6e6 %% Nœuds d’action validate_env[« <b>Action</b> – <b>T1059.004 Shell Unix</b><br/><b>Description</b> : Validation de l’environnement ESXi à l’aide des commandes d’administration ESXi (T1675) et des commandes shell Unix. »] class validate_env action enumerate_vms[« <b>Action</b> – <b>T1673 Énumération des Machines Virtuelles</b><br/><b>Description</b> : Liste des machines virtuelles présentes sur l’hôte ESXi. »] class enumerate_vms action poweroff_vms[« <b>Action</b> – <b>T1675 Commande d’Administration ESXi</b><br/><b>Description</b> : Extinction des machines virtuelles cibles via vimu2011cmd. »] class poweroff_vms action anti_analysis[« <b>Action</b> – Vérifications anti-analyse<br/><b>Techniques</b> : T1497.001 Vérifications système, T1497.002 Vérifications d’activité utilisateur, T1622 Évasion du débogueur »] class anti_analysis action encrypt_vm[« <b>Action</b> – Chiffrement des fichiers VM<br/><b>Technique</b> : T1573.001 Canal chiffré (cryptographie symétrique) utilisant ChaCha20 »] class encrypt_vm action obfuscate_files[« <b>Action</b> – Obfuscation des fichiers chiffrés<br/><b>Technique</b> : T1027.002 Empaquetage logiciel »] class obfuscate_files action archive_data[« <b>Action</b> – Archivage des fichiers chiffrés<br/><b>Technique</b> : T1560.003 Archivage via méthode personnalisée »] class archive_data action wipe_free_space[« <b>Action</b> – Effacement optionnel de l’espace libre et des activités de journalisation »] class wipe_free_space action self_delete[« <b>Action</b> – Nettoyage<br/><b>Techniques</b> : T1070.004 Suppression de fichiers, T1027.001 Padding binaire, T1027.005 Suppression d’indicateurs des outils »] class self_delete action %% Nœuds d’outils tool_esxi_admin[« <b>Outil</b> – Commande d’Administration ESXi<br/><b>Objectif</b> : Gestion de la configuration de l’hôte ESXi et du cycle de vie des VM. »] class tool_esxi_admin tool tool_vim_cmd[« <b>Outil</b> – vimu2011cmd<br/><b>Objectif</b> : Utilitaire en ligne de commande ESXi pour les opérations sur les VM. »] class tool_vim_cmd tool tool_chacha20[« <b>Outil</b> – Module de chiffrement ChaCha20<br/><b>Objectif</b> : Réaliser un chiffrement symétrique rapide puis complet. »] class tool_chacha20 tool tool_custom_archive[« <b>Outil</b> – Archiveur personnalisé<br/><b>Objectif</b> : Regrouper les fichiers VM chiffrés dans un format d’archive propriétaire. »] class tool_custom_archive tool %% Connexions validate_env –>|utilise| tool_esxi_admin validate_env –>|exécute| tool_vim_cmd validate_env –>|mène_à| enumerate_vms enumerate_vms –>|utilise| tool_vim_cmd enumerate_vms –>|mène_à| poweroff_vms poweroff_vms –>|utilise| tool_vim_cmd poweroff_vms –>|mène_à| anti_analysis anti_analysis –>|exécute| encrypt_vm encrypt_vm –>|utilise| tool_chacha20 encrypt_vm –>|mène_à| obfuscate_files obfuscate_files –>|mène_à| archive_data archive_data –>|utilise| tool_custom_archive archive_data –>|mène_à| wipe_free_space wipe_free_space –>|mène_à| self_delete self_delete –>|utilise| tool_esxi_admin
Flux d’attaque
Détections
Linux/ESXi – Contrôle massif de VM via vim-cmd (via ligne de commande)
Voir
Indicateur possible de détection anti-débogage via TracerPid (via ligne de commande)
Voir
Détection de l’activité du ransomware LockBit 5.0 sur ESXi [Événement de fichier Linux]
Voir
Détection de l’activité ransomware LockBit 5.0 ESXi [Création de processus Linux]
Voir
Exécution de simulation
Condition préalable : la vérification préliminaire de télémétrie & baseline doit être passée.
Rationalisation : cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiées et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narration & Commandes d’Attaque :
Un assaillant avec un accès administratif à l’hôte ESXi télécharge la charge utile LockBit 5.0 via le client vSphere. Le ransomware crée son répertoire de travail sous/var/tmp/.guestfs-0/appliance.d/root, écrit un journal de chiffrement dans/var/log/encrypt.log, et commence à parcourir tous les magasins de données VMFS (/vmfs/volumes/) pour chiffrer les fichiers de disque virtuel. Les commandes suivantes émulent ce comportement en utilisant des fichiers fictifs inoffensifs :- Créez le répertoire de mise en scène du ransomware et un fichier VMFS « chiffré » factice.
- Écrivez une entrée de journal qui imite le statut de chiffrement de LockBit.
- Touchez un fichier au plus profond d’un volume VMFS pour reproduire une activité de chiffrement massive.
-
Script de test de régression :
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Créez le répertoire de mise en scène (simule le déballage de la charge utile LockBit) mkdir -p /var/tmp/.guestfs-0/appliance.d/root echo "Répertoire de mise en scène LockBit 5.0 créé" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt # 2️⃣ Écrivez un journal de chiffrement (simule l'enregistrement d'activité de ransomware) LOGFILE="/var/log/encrypt.log" echo "$(date '+%Y-%m-%d %H:%M:%S') - Le chiffrement a commencé sur le datastore VMFS" | sudo tee -a "$LOGFILE" # 3️⃣ Simulez le chiffrement de fichiers en masse sur un volume VMFS DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation" mkdir -p "$DUMMY_VMFS_PATH" dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none echo "Fichier VMFS factice créé pour émuler le chiffrement par ransomware" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt" echo "=== Simulation complète. ==="Exécutez le script en tant que root (ou via sudo) sur l’hôte ESXi. Les
auditdwatchers générerontopen,write, etcreatévénements qui correspondent à tous les mots-clés dans la règle Sigma. -
Commandes de nettoyage :
#!/usr/bin/env bash set -euo pipefail sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root sudo rm -f /var/log/encrypt.log sudo rm -rf /vmfs/volumes/lockbit_simulation echo "=== Nettoyage complet. ==="