19 Відтінків LockBit5.0, всередині найновішого міжплатформного програмного забезпечення-вимагача: Частина 1
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Стаття розглядає 19 зразків програми-вимагача LockBit 5.0, створених для ураження Windows, Linux і VMware ESXi. Вона підкреслює швидкість шифрування із використанням ChaCha20, кросплатформенний дизайн сімейства та поведінку, орієнтовану на ESXi, яка може вимикати віртуальні машини перед шифруванням їхніх дисків. Стаття проходить через етапи виконання, заходи з протидії аналізу та специфічні цілі для гіпервізора, які зловмисне програмне забезпечення віддає перевагу під час атаки.
Розслідування
Дослідники провели статичний аналіз ELF-варіантів, витягуючи вбудовані шляхи, командні строки та конфігураційні перемикачі. Для ESXi програма використовує інструменти керування VMware (включаючи vim-cmd) для переліку та вимкнення ВМ перед шифруванням диску і включає перевірки на виявлення налагоджувачів для таких інструментів, як valgrind та frida. Зразок записує телеметрію виконання в /var/log/encrypt.log і підтримує самовидалення після завершення процедури.
Послаблення
Моніторити хости ESXi на несподіване використання адміністративних команд VMware, непланові події вимкнення ВМ, створиення /var/log/encrypt.log та артефактів, таких як маркери .vmdk.fastpass. Зменшити ризик, заборонивши виконання ненадійних ELF на гіпервізорах та впроваджуючи суворий білого спискування для виконуваних бінарних файлів та скриптів на ESXi.
Реакція
Якщо активність виявлена, ізолюйте постраждалий хост ESXi, зупиніть процеси ВМ для обмеження розповсюдження та збережіть криміналістичні докази (ELF-панкет, encrypt.log та відповідні логи хоста). Почніть відновлення з узгоджених, чистих знімків/бекапів, потім проведіть перевірку на наявність додаткових компонентів програми-вимагача та підтвердіть цілісність критичних файлів гіпервізора.
Потік атаки
Виявлення
Linux/ESXi – Масове управління живленням ВМ через vim-cmd (через командний рядок)
Перегляд
Можливий індикатор анти-налагодження через перевірку TracerPid (через командний рядок)
Перегляд
Виявлення активності навіть LockBit 5.0 на ESXi [Подія файлової системи Linux]
Перегляд
Виявлення активності LockBit 5.0 ESXi Ransomware [Створення процесу Linux]
Перегляд
Виконання симуляції
Попередня умова: Телеметрія та базова перевірка перед польотом повинні бути пройдені.
Мотивація: У цьому розділі детально описується точне виконання техніки супротивника (TTP), розробленої для тригерної правила виявлення. Команди та сюжетні лінії ПОВИННІ прямо відображати ідентифіковані TTP і націлені на генерування точної телеметрії, що очікується за допомогою логіки виявлення.
-
Сюжет атаки та команди:
Нападник з адміністративним доступом до хоста ESXi завантажує завантаження LockBit 5.0 через клієнт vSphere. Програма-вимагач створює свою робочу директорію під/var/tmp/.guestfs-0/appliance.d/root, записує журнал шифрування до/var/log/encrypt.log, і починає обхід усіх сховищ даних VMFS (/vmfs/volumes/) для шифрування файлів віртуальних дисків. Наступні команди імітують цю поведінку з використанням безпечних фіктивних файлів:- Створити каталог інсценування програми-вимагача та фіктивний файл VMFS “зашифрований”.
- Записати в журнал запис, що імітує статус шифрування LockBit.
- Торкніться файлу глибоко всередині обсягу VMFS, щоб відтворити активність масового шифрування.
-
Скрипт регресійного тестування:
#!/usr/bin/env bash set -euo pipefail # 1️⃣ Створити каталог інсценування (імітація розпаку завантаження LockBit) mkdir -p /var/tmp/.guestfs-0/appliance.d/root echo "Створено каталог інсценування LockBit 5.0" > /var/tmp/.guestfs-0/appliance.d/root/stage.txt # 2️⃣ Записати журнал шифрування (імітація ведення журналу активності програми-вимагача) LOGFILE="/var/log/encrypt.log" echo "$(date '+%Y-%m-%d %H:%M:%S') - Шифрування розпочато на сховищі даних VMFS" | sudo tee -a "$LOGFILE" # 3️⃣ Імітація масового шифрування файлів на обсязі VMFS DUMMY_VMFS_PATH="/vmfs/volumes/lockbit_simulation" mkdir -p "$DUMMY_VMFS_PATH" dd if=/dev/zero of="$DUMMY_VMFS_PATH/encrypted_dummy.vmdk" bs=1M count=10 status=none echo "Створено фіктивний файл VMFS для емулірування шифрування програми-вимагача" | sudo tee -a "$DUMMY_VMFS_PATH/notes.txt" echo "=== Симуляція завершена. ==="Запустити скрипт як root (або через sudo) на хості ESXi. Системи аудиту
auditdстворятьвідкриття,запис, істворенняподії, що відповідають усім ключовим словам у правилі Sigma. -
Команди очищення:
#!/usr/bin/env bash set -euo pipefail sudo rm -rf /var/tmp/.guestfs-0/appliance.d/root sudo rm -f /var/log/encrypt.log sudo rm -rf /vmfs/volumes/lockbit_simulation echo "=== Очищення завершено. ==="