19 Schattierungen von LockBit5.0, Einblicke in die neueste plattformübergreifende Ransomware: Teil 1
Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Artikel untersucht 19 LockBit 5.0 Ransomware-Beispiele, die speziell für Angriffe auf Windows, Linux und VMware ESXi entwickelt wurden. Er betont die schnelle Verschlüsselung mittels ChaCha20, das plattformübergreifende Design der Familie und das auf ESXi fokussierte Verhalten, das virtuelle Maschinen vor dem Verschlüsseln ihrer Festplatten herunterfahren kann. Der Artikel beschreibt die Ausführungsphasen, Anti-Analyse-Maßnahmen und die hypervisorspezifischen Dateiziele, die die Malware während des Angriffs priorisiert.
Untersuchung
Forscher führten eine statische Analyse der ELF-Varianten durch, wobei eingebettete Pfade, Befehlszeichenfolgen und Konfigurationsschalter extrahiert wurden. Auf ESXi nutzt die Malware VMware-Management-Tools (einschließlich vim-cmd), um VMs vor der Festplattenverschlüsselung aufzulisten und herunterzufahren, und schließt Anti-Debug-Überprüfungen für Werkzeuge wie Valgrind und Frida ein. Die Probe schreibt Ausführungstelemetrie in /var/log/encrypt.log und unterstützt die Selbstlöschung nach Abschluss der Routine.
Minderung
Überwachen Sie ESXi-Hosts auf unerwartete Nutzung von VMware-Administrationsbefehlen, ungeplante VM-Herunterfahrereignisse, Erstellen von /var/log/encrypt.log und Artefakte wie .vmdk.fastpass-Markierungen. Reduzieren Sie die Exposition, indem Sie unzuverlässige ELF-Ausführungen auf Hypervisoren verhindern und striktes Allow-Listing für Binärdateien und Skripte durchsetzen, die auf ESXi ausgeführt werden dürfen.
Reaktion
Wird Aktivität erkannt, isolieren Sie den betroffenen ESXi-Host, stoppen VM-Prozesse, um die Ausbreitung zu verhindern, und bewahren Sie forensische Beweise (die ELF-Nutzlast, encrypt.log und relevante Hostprotokolle) auf. Beginnen Sie die Wiederherstellung von verifizierten sauberen Snapshots/Backups, durchsuchen Sie dann nach zusätzlichen Ransomware-Komponenten und überprüfen Sie die Integrität kritischer Hypervisor-Dateien.
graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#e6e6e6 %% Aktionsknoten validate_env[„<b>Aktion</b> – <b>T1059.004 Unix-Shell</b><br/><b>Beschreibung</b>: Validierung der ESXi-Umgebung mithilfe von ESXi-Administrationsbefehlen (T1675) und Unix-Shell-Befehlen.“] class validate_env action enumerate_vms[„<b>Aktion</b> – <b>T1673 Auflisten virtueller Maschinen</b><br/><b>Beschreibung</b>: Auflistung der auf dem ESXi-Host vorhandenen virtuellen Maschinen.“] class enumerate_vms action poweroff_vms[„<b>Aktion</b> – <b>T1675 ESXi-Administrationsbefehl</b><br/><b>Beschreibung</b>: Ausschalten der Ziel-VMs über vimu2011cmd.“] class poweroff_vms action anti_analysis[„<b>Aktion</b> – Anti-Analyse-Prüfungen<br/><b>Techniken</b>: T1497.001 Systemprüfungen, T1497.002 Benutzeraktivitätsprüfungen, T1622 Debugger-Umgehung“] class anti_analysis action encrypt_vm[„<b>Aktion</b> – Verschlüsselung von VM-Dateien<br/><b>Technik</b>: T1573.001 Verschlüsselter Kanal (symmetrische Kryptographie) mit ChaCha20“] class encrypt_vm action obfuscate_files[„<b>Aktion</b> – Verschleierung verschlüsselter Dateien<br/><b>Technik</b>: T1027.002 Software-Packing“] class obfuscate_files action archive_data[„<b>Aktion</b> – Archivierung verschlüsselter Dateien<br/><b>Technik</b>: T1560.003 Archivierung mittels benutzerdefinierter Methode“] class archive_data action wipe_free_space[„<b>Aktion</b> – Optionale Bereinigung von freiem Speicherplatz und Protokollaktivitäten“] class wipe_free_space action self_delete[„<b>Aktion</b> – Bereinigung<br/><b>Techniken</b>: T1070.004 Dateilöschung, T1027.001 Binäres Padding, T1027.005 Entfernen von Indikatoren aus Werkzeugen“] class self_delete action %% Werkzeugknoten tool_esxi_admin[„<b>Werkzeug</b> – ESXi-Administrationsbefehl<br/><b>Zweck</b>: Verwaltung der ESXi-Host-Konfiguration und des VM-Lebenszyklus.“] class tool_esxi_admin tool tool_vim_cmd[„<b>Werkzeug</b> – vimu2011cmd<br/><b>Zweck</b>: ESXi-Kommandozeilenprogramm für VM-Operationen.“] class tool_vim_cmd tool tool_chacha20[„<b>Werkzeug</b> – ChaCha20-Verschlüsselungsmodul<br/><b>Zweck</b>: Durchführung einer schnellen Vorab-Verschlüsselung und einer vollständigen symmetrischen Verschlüsselung.“] class tool_chacha20 tool tool_custom_archive[„<b>Werkzeug</b> – Benutzerdefinierter Archivierer<br/><b>Zweck</b>: Verpacken verschlüsselter VM-Dateien in ein proprietäres Archivformat.“] class tool_custom_archive tool %% Verbindungen validate_env –>|verwendet| tool_esxi_admin validate_env –>|führt_aus| tool_vim_cmd validate_env –>|führt_zu| enumerate_vms enumerate_vms –>|verwendet| tool_vim_cmd enumerate_vms –>|führt_zu| poweroff_vms poweroff_vms –>|verwendet| tool_vim_cmd poweroff_vms –>|führt_zu| anti_analysis anti_analysis –>|führt_aus| encrypt_vm encrypt_vm –>|verwendet| tool_chacha20 encrypt_vm –>|führt_zu| obfuscate_files obfuscate_files –>|führt_zu| archive_data archive_data –>|verwendet| tool_custom_archive archive_data –>|führt_zu| wipe_free_space wipe_free_space –>|führt_zu| self_delete self_delete –>|verwendet| tool_esxi_admin
Angriffsverlauf
Erkennungen
Linux/ESXi – Massen-VM-Steuerung über vim-cmd (über die Befehlszeile)
Ansicht
Möglicher Indikator für Anti-Debugging via TracerPid-Überprüfung (über die Befehlszeile)
Ansicht
Erkennung von LockBit 5.0 Ransomware-Aktivität auf ESXi [Linux-Datei-Ereignis]
Ansicht
LockBit 5.0 ESXi Ransomware-Aktivitätserkennung [Linux-Prozesserstellung]
Ansicht
Ausführung der Simulation
Voraussetzung: Der Telemetrie- & Basislinien-Vorab-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der vom Angreifer verwendeten Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und der Erzähltext MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.
-
Angriffsbericht & Befehle:
Ein Angreifer mit administrativem Zugriff auf den ESXi-Host lädt die LockBit 5.0 Nutzlast über den vSphere-Client hoch. Die Ransomware erstellt ihr Arbeitsverzeichnis unter/var/tmp/.guestfs-0/appliance.d/root, schreibt ein Verschlüsselungslog nach/var/log/encrypt.log, und beginnt alle VMFS-Datenspeicher zu durchlaufen (/vmfs/volumes/), um virtuelle Festplattendateien zu verschlüsseln. Die folgenden Befehle emulieren dieses Verhalten unter Verwendung harmloser Dummy-Dateien:- Erstellen Sie das Ransomware-Vorbereitungsverzeichnis und eine Dummy-„verschlüsselte“ VMFS-Datei.
- Schreiben Sie einen Logeintrag, der den Verschlüsselungsstatus von LockBit imitiert.
- Berühren Sie eine Datei tief in einem VMFS-Volume, um eine Massenverschlüsselungsaktivität zu replizieren.
-
Regressionstest-Skript:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Erstellen des Staging-Verzeichnisses (simuliert das Entpacken der LockBit-Nutzlast) mkdir -p /var/tmp/.guestfs-0/appliance.d/root echo "LockBit 5.0 Staging-Verzeichnis erstellt" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt # 2️⃣ Schreiben eines Verschlüsselungslogs (simuliert das Protokollieren von Ransomware-Aktivitäten) LOGFILE="/var/log/encrypt.log" echo "$(date '+%Y-%m-%d %H:%M:%S') - Verschlüsselung auf VMFS-Datenspeicher gestartet" | sudo tee -a "$LOGFILE" # 3️⃣ Simulation der Verschlüsselung von Massendateien auf einem VMFS-Volume DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation" mkdir -p "$DUMMY_VMFS_PATH" dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none echo "Dummy-VMFS-Datei erstellt, um die Ransomware-Verschlüsselung zu emulieren" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt" echo "=== Simulation abgeschlossen. ==="Führen Sie das Skript als root (oder über sudo) auf dem ESXi-Host aus. Die
auditdWatches werdenopen,write, undcreatEreignisse generieren, die mit allen Schlüsselwörtern in der Sigma-Regel übereinstimmen. -
Bereinigungskommandos:
#!/usr/bin/env bash set -euo pipefail sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root sudo rm -f /var/log/encrypt.log sudo rm -rf /vmfs/volumes/lockbit_simulation echo "=== Bereinigung abgeschlossen. ==="