19 Schattierungen von LockBit5.0, Einblicke in die neueste plattformübergreifende Ransomware: Teil 1
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Der Artikel untersucht 19 LockBit 5.0 Ransomware-Beispiele, die speziell für Angriffe auf Windows, Linux und VMware ESXi entwickelt wurden. Er betont die schnelle Verschlüsselung mittels ChaCha20, das plattformübergreifende Design der Familie und das auf ESXi fokussierte Verhalten, das virtuelle Maschinen vor dem Verschlüsseln ihrer Festplatten herunterfahren kann. Der Artikel beschreibt die Ausführungsphasen, Anti-Analyse-Maßnahmen und die hypervisorspezifischen Dateiziele, die die Malware während des Angriffs priorisiert.
Untersuchung
Forscher führten eine statische Analyse der ELF-Varianten durch, wobei eingebettete Pfade, Befehlszeichenfolgen und Konfigurationsschalter extrahiert wurden. Auf ESXi nutzt die Malware VMware-Management-Tools (einschließlich vim-cmd), um VMs vor der Festplattenverschlüsselung aufzulisten und herunterzufahren, und schließt Anti-Debug-Überprüfungen für Werkzeuge wie Valgrind und Frida ein. Die Probe schreibt Ausführungstelemetrie in /var/log/encrypt.log und unterstützt die Selbstlöschung nach Abschluss der Routine.
Minderung
Überwachen Sie ESXi-Hosts auf unerwartete Nutzung von VMware-Administrationsbefehlen, ungeplante VM-Herunterfahrereignisse, Erstellen von /var/log/encrypt.log und Artefakte wie .vmdk.fastpass-Markierungen. Reduzieren Sie die Exposition, indem Sie unzuverlässige ELF-Ausführungen auf Hypervisoren verhindern und striktes Allow-Listing für Binärdateien und Skripte durchsetzen, die auf ESXi ausgeführt werden dürfen.
Reaktion
Wird Aktivität erkannt, isolieren Sie den betroffenen ESXi-Host, stoppen VM-Prozesse, um die Ausbreitung zu verhindern, und bewahren Sie forensische Beweise (die ELF-Nutzlast, encrypt.log und relevante Hostprotokolle) auf. Beginnen Sie die Wiederherstellung von verifizierten sauberen Snapshots/Backups, durchsuchen Sie dann nach zusätzlichen Ransomware-Komponenten und überprüfen Sie die Integrität kritischer Hypervisor-Dateien.
Angriffsverlauf
Erkennungen
Linux/ESXi – Massen-VM-Steuerung über vim-cmd (über die Befehlszeile)
Ansicht
Möglicher Indikator für Anti-Debugging via TracerPid-Überprüfung (über die Befehlszeile)
Ansicht
Erkennung von LockBit 5.0 Ransomware-Aktivität auf ESXi [Linux-Datei-Ereignis]
Ansicht
LockBit 5.0 ESXi Ransomware-Aktivitätserkennung [Linux-Prozesserstellung]
Ansicht
Ausführung der Simulation
Voraussetzung: Der Telemetrie- & Basislinien-Vorab-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der vom Angreifer verwendeten Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und der Erzähltext MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.
-
Angriffsbericht & Befehle:
Ein Angreifer mit administrativem Zugriff auf den ESXi-Host lädt die LockBit 5.0 Nutzlast über den vSphere-Client hoch. Die Ransomware erstellt ihr Arbeitsverzeichnis unter/var/tmp/.guestfs-0/appliance.d/root, schreibt ein Verschlüsselungslog nach/var/log/encrypt.log, und beginnt alle VMFS-Datenspeicher zu durchlaufen (/vmfs/volumes/), um virtuelle Festplattendateien zu verschlüsseln. Die folgenden Befehle emulieren dieses Verhalten unter Verwendung harmloser Dummy-Dateien:- Erstellen Sie das Ransomware-Vorbereitungsverzeichnis und eine Dummy-„verschlüsselte“ VMFS-Datei.
- Schreiben Sie einen Logeintrag, der den Verschlüsselungsstatus von LockBit imitiert.
- Berühren Sie eine Datei tief in einem VMFS-Volume, um eine Massenverschlüsselungsaktivität zu replizieren.
-
Regressionstest-Skript:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Erstellen des Staging-Verzeichnisses (simuliert das Entpacken der LockBit-Nutzlast) mkdir -p /var/tmp/.guestfs-0/appliance.d/root echo "LockBit 5.0 Staging-Verzeichnis erstellt" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt # 2️⃣ Schreiben eines Verschlüsselungslogs (simuliert das Protokollieren von Ransomware-Aktivitäten) LOGFILE="/var/log/encrypt.log" echo "$(date '+%Y-%m-%d %H:%M:%S') - Verschlüsselung auf VMFS-Datenspeicher gestartet" | sudo tee -a "$LOGFILE" # 3️⃣ Simulation der Verschlüsselung von Massendateien auf einem VMFS-Volume DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation" mkdir -p "$DUMMY_VMFS_PATH" dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none echo "Dummy-VMFS-Datei erstellt, um die Ransomware-Verschlüsselung zu emulieren" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt" echo "=== Simulation abgeschlossen. ==="Führen Sie das Skript als root (oder über sudo) auf dem ESXi-Host aus. Die
auditdWatches werdenopen,write, undcreatEreignisse generieren, die mit allen Schlüsselwörtern in der Sigma-Regel übereinstimmen. -
Bereinigungskommandos:
#!/usr/bin/env bash set -euo pipefail sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root sudo rm -f /var/log/encrypt.log sudo rm -rf /vmfs/volumes/lockbit_simulation echo "=== Bereinigung abgeschlossen. ==="