19 Відтінків LockBit5.0, всередині найновішого міжплатформного програмного забезпечення-вимагача: Частина 1
Стежити
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Стаття розглядає 19 зразків програми-вимагача LockBit 5.0, створених для ураження Windows, Linux і VMware ESXi. Вона підкреслює швидкість шифрування із використанням ChaCha20, кросплатформенний дизайн сімейства та поведінку, орієнтовану на ESXi, яка може вимикати віртуальні машини перед шифруванням їхніх дисків. Стаття проходить через етапи виконання, заходи з протидії аналізу та специфічні цілі для гіпервізора, які зловмисне програмне забезпечення віддає перевагу під час атаки.
Розслідування
Дослідники провели статичний аналіз ELF-варіантів, витягуючи вбудовані шляхи, командні строки та конфігураційні перемикачі. Для ESXi програма використовує інструменти керування VMware (включаючи vim-cmd) для переліку та вимкнення ВМ перед шифруванням диску і включає перевірки на виявлення налагоджувачів для таких інструментів, як valgrind та frida. Зразок записує телеметрію виконання в /var/log/encrypt.log і підтримує самовидалення після завершення процедури.
Послаблення
Моніторити хости ESXi на несподіване використання адміністративних команд VMware, непланові події вимкнення ВМ, створиення /var/log/encrypt.log та артефактів, таких як маркери .vmdk.fastpass. Зменшити ризик, заборонивши виконання ненадійних ELF на гіпервізорах та впроваджуючи суворий білого спискування для виконуваних бінарних файлів та скриптів на ESXi.
Реакція
Якщо активність виявлена, ізолюйте постраждалий хост ESXi, зупиніть процеси ВМ для обмеження розповсюдження та збережіть криміналістичні докази (ELF-панкет, encrypt.log та відповідні логи хоста). Почніть відновлення з узгоджених, чистих знімків/бекапів, потім проведіть перевірку на наявність додаткових компонентів програми-вимагача та підтвердіть цілісність критичних файлів гіпервізора.
graph TB %% Визначення класів classDef action fill:#99ccff classDef tool fill:#cccccc classDef technique fill:#e6e6e6 %% Вузли дій validate_env[“<b>Дія</b> – <b>T1059.004 Unix Shell</b><br/><b>Опис</b>: Перевірка середовища ESXi з використанням команд адміністрування ESXi (T1675) та команд Unix shell.”] class validate_env action enumerate_vms[“<b>Дія</b> – <b>T1673 Перелік віртуальних машин</b><br/><b>Опис</b>: Отримання списку віртуальних машин, наявних на хості ESXi.”] class enumerate_vms action poweroff_vms[“<b>Дія</b> – <b>T1675 Команда адміністрування ESXi</b><br/><b>Опис</b>: Вимкнення цільових віртуальних машин за допомогою vimu2011cmd.”] class poweroff_vms action anti_analysis[“<b>Дія</b> – Антианалізні перевірки<br/><b>Техніки</b>: T1497.001 Перевірки системи, T1497.002 Перевірки активності користувача, T1622 Уникнення налагоджувача”] class anti_analysis action encrypt_vm[“<b>Дія</b> – Шифрування файлів ВМ<br/><b>Техніка</b>: T1573.001 Зашифрований канал (симетрична криптографія) з використанням ChaCha20”] class encrypt_vm action obfuscate_files[“<b>Дія</b> – Обфускація зашифрованих файлів<br/><b>Техніка</b>: T1027.002 Пакування програмного забезпечення”] class obfuscate_files action archive_data[“<b>Дія</b> – Архівація зашифрованих файлів<br/><b>Техніка</b>: T1560.003 Архівація власним методом”] class archive_data action wipe_free_space[“<b>Дія</b> – Необовʼязкове очищення вільного простору та журналів активності”] class wipe_free_space action self_delete[“<b>Дія</b> – Очищення<br/><b>Техніки</b>: T1070.004 Видалення файлів, T1027.001 Бінарне доповнення, T1027.005 Видалення індикаторів з інструментів”] class self_delete action %% Вузли інструментів tool_esxi_admin[“<b>Інструмент</b> – Команда адміністрування ESXi<br/><b>Призначення</b>: Керування конфігурацією хоста ESXi та життєвим циклом віртуальних машин.”] class tool_esxi_admin tool tool_vim_cmd[“<b>Інструмент</b> – vimu2011cmd<br/><b>Призначення</b>: Утиліта командного рядка ESXi для операцій з віртуальними машинами.”] class tool_vim_cmd tool tool_chacha20[“<b>Інструмент</b> – Модуль шифрування ChaCha20<br/><b>Призначення</b>: Виконання швидкого початкового та повного симетричного шифрування.”] class tool_chacha20 tool tool_custom_archive[“<b>Інструмент</b> – Користувацький архіватор<br/><b>Призначення</b>: Пакування зашифрованих файлів ВМ у власний формат архіву.”] class tool_custom_archive tool %% Зʼєднання validate_env –>|використовує| tool_esxi_admin validate_env –>|виконує| tool_vim_cmd validate_env –>|призводить_до| enumerate_vms enumerate_vms –>|використовує| tool_vim_cmd enumerate_vms –>|призводить_до| poweroff_vms poweroff_vms –>|використовує| tool_vim_cmd poweroff_vms –>|призводить_до| anti_analysis anti_analysis –>|виконує| encrypt_vm encrypt_vm –>|використовує| tool_chacha20 encrypt_vm –>|призводить_до| obfuscate_files obfuscate_files –>|призводить_до| archive_data archive_data –>|використовує| tool_custom_archive archive_data –>|призводить_до| wipe_free_space wipe_free_space –>|призводить_до| self_delete self_delete –>|використовує| tool_esxi_admin
Потік атаки
Виявлення
Linux/ESXi – Масове управління живленням ВМ через vim-cmd (через командний рядок)
Перегляд
Можливий індикатор анти-налагодження через перевірку TracerPid (через командний рядок)
Перегляд
Виявлення активності навіть LockBit 5.0 на ESXi [Подія файлової системи Linux]
Перегляд
Виявлення активності LockBit 5.0 ESXi Ransomware [Створення процесу Linux]
Перегляд
Виконання симуляції
Попередня умова: Телеметрія та базова перевірка перед польотом повинні бути пройдені.
Мотивація: У цьому розділі детально описується точне виконання техніки супротивника (TTP), розробленої для тригерної правила виявлення. Команди та сюжетні лінії ПОВИННІ прямо відображати ідентифіковані TTP і націлені на генерування точної телеметрії, що очікується за допомогою логіки виявлення.
-
Сюжет атаки та команди:
Нападник з адміністративним доступом до хоста ESXi завантажує завантаження LockBit 5.0 через клієнт vSphere. Програма-вимагач створює свою робочу директорію під/var/tmp/.guestfs-0/appliance.d/root, записує журнал шифрування до/var/log/encrypt.log, і починає обхід усіх сховищ даних VMFS (/vmfs/volumes/) для шифрування файлів віртуальних дисків. Наступні команди імітують цю поведінку з використанням безпечних фіктивних файлів:- Створити каталог інсценування програми-вимагача та фіктивний файл VMFS “зашифрований”.
- Записати в журнал запис, що імітує статус шифрування LockBit.
- Торкніться файлу глибоко всередині обсягу VMFS, щоб відтворити активність масового шифрування.
-
Скрипт регресійного тестування:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Створити каталог інсценування (імітація розпаку завантаження LockBit) mkdir -p /var/tmp/.guestfs-0/appliance.d/root echo "Створено каталог інсценування LockBit 5.0" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt # 2️⃣ Записати журнал шифрування (імітація ведення журналу активності програми-вимагача) LOGFILE="/var/log/encrypt.log" echo "$(date '+%Y-%m-%d %H:%M:%S') - Шифрування розпочато на сховищі даних VMFS" | sudo tee -a "$LOGFILE" # 3️⃣ Імітація масового шифрування файлів на обсязі VMFS DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation" mkdir -p "$DUMMY_VMFS_PATH" dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none echo "Створено фіктивний файл VMFS для емулірування шифрування програми-вимагача" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt" echo "=== Симуляція завершена. ==="Запустити скрипт як root (або через sudo) на хості ESXi. Системи аудиту
auditdстворятьвідкриття,запис, істворенняподії, що відповідають усім ключовим словам у правилі Sigma. -
Команди очищення:
#!/usr/bin/env bash set -euo pipefail sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root sudo rm -f /var/log/encrypt.log sudo rm -rf /vmfs/volumes/lockbit_simulation echo "=== Очищення завершено. ==="