ランサムハッカー集団LockBit3.0の脅威分析とその防止策とは

 
ランサムハッカー集団LockBit3.0(LockBit Black とも呼ばれる)は、2022年7月に出現して以来、世界中で最も悪名高いランサムウェアの脅威の 1 つになりました。2023年には日本でも名古屋港がLockBit3.0のサイバー攻撃を受けています。
現時点で、LockBit3.0はRaaS(Ransomware as a Service)プラットフォームの運用を維持するだけでなく、さまざまな技術、特に分析対策に重点を置いた技術を使用して暗号化機能を着実に強化しています。
そこで、この記事では、LockBitの詳細情報を徹底公開、その仕組みや特徴、防止策について解説します。

LockBit3.0の攻撃手法とは

このランサムウェアは、元のテキストセクションを解凍するためにパスワードを要求します。これは、EgregorとBlackCatでも同様の手法が採用されています。コードの類似性に基づいて、多くの研究者は、LockBit3.0 で利用されている技術の大部分は BlackMatter/Darksideから派生したものであると主張しています。

図1.LockBit3.0(左)とBlackMatter(右)のエントリー ポイントは酷似しています

図2.LockBit3.0(左)と BlackMatter(右)のParseApiHashTable関数は同じ操作に従います

 
脅威者は、コンフィギュレーションファイルを利用して、終了したサービス/プロセスのリスト、身代金メモ、ファイルとフォルダーのホワイトリストなどのカスタマイズを含む、より適応性の高いオプション範囲に合わせて暗号化プログラムを調整します。

この分析では、サンプル(sha256: 80e8defa5377018b093b5b90de0f2957f7062144c83a09a56bba1fe4eda932ce)を検査し、LockBit3.0で採用されている最も顕著な技術に焦点を当てました。

図3.LockBit3.0によって身代金を保持されたコンピュータの壁紙が変更され、暗号化されたファイルのアイコンがLockbitのアイコンに置き換わります。

図4.このスクリプト[1]を使用すると、サンプルからコンフィギュレーションをダンプできます

図5.このスクリプト[1]を使用すると、サンプルからコンフィギュレーションをダンプできます

LockBit3.0のコードフロー

分析されたサンプルは、セクションの解凍、IATの再構築、権限のエスカレーション、およびメインの身代金の4つの異なるフェーズに分類できます。

• 1.セクションの解凍フェーズでは、実際のセクションが復号化されます。
• 2.IATの再構築フェーズでは、IATの機能を復元するだけでなく、カスタマイズされたスタブを使用してアドレスを難読化します。
• 3.権限エスカレートフェーズでは、サンプルは、より高い権限を自分自身に付与することで進化しようとします。
• 4.身代金メインフェーズは最も複雑なステージです。ほとんどの機能は子スレッドとして開始され、特権昇格フェーズからの復号化された構成に対応する操作が実行されます。

図6.LockBit3.0のコードフロー

図7.分析サンプルは4つのステップで構成されます

MITRE ATT&CKの戦術とテクニック

最初に、MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）のフレームワークを使用して、LockBit3.0攻撃手法を注意深く調査します。この包括的な分析に続いて、このメソッドの特徴的な側面を掘り下げ、読者の皆さまがこれらの特殊なテクニックを分析する方法を完全に理解できるようにします。

※MITRE ATT&CKとは
サイバー攻撃者の行動を理解するために、攻撃の戦術や手法をまとめたフレームワーク

表1.MITRE ATT&CKの戦術とテクニック

1.T1140ファイルまたは情報の難読化を解除して解読

• .itextセクションにあるスタブは、コマンドライン引数から取得したパスワードを使用してセクションを復号化します。

図8.復号化ルーチンはsub_41B000にあります

図9.コマンドラインでキーワード「-pass」を識別する

• textセクションの復号化に続いて、.itextセクションが変換され、分析されたサンプルは最終的に4つの異なる関数で構成されます。

図10.開梱したもの(左)と梱包したもの(右)の違いを比較します

図11.開梱したもの(左)と梱包したもの(右)の違いを比較

2.T1027難読化されたファイルまたは情報とは

• • 難読化を強化するために、LockBit3.0では次の手法を採用して分析の複雑さを高めています。

A.文字列ハッシュマッチングの利用

図12.文字列ハッシュ関数は0x4011E4にあります

 
B.スタック文字列難読化の実装

図13.文字列復号化関数は0x401260にあります

3.T1027.007動的API解決

• • インポートアドレステーブル(IAT)を再構築するために、LockBit3.0は非常に複雑なアプローチを採用しています。

図14.IATを再構築する関数は0x408254にあります

• IATを再構築するプロセスには、次の3つの段階が含まれます。

• A.文字列ハッシュを使用してシステムメモリ内のDLLを識別します。
• B.InLoadOrderModuleListを解析し、API名のハッシュを比較することにより、API アドレスを抽出します。
• C.IAT再構築に利用可能な5つのスタブのうち1つを任意に選択します。各スタブは、ハードコードされたキーを使用した循環シフトとXOR演算を通じて本物のAPIアドレスを取得します。

図15.難読化されたAPIアドレスの準備は、実際には反転可能な操作です

4.T1614.001システムの場所の検出:システム言語の検出

• • LockBit3.0には、BlackMatter/Darksideに由来するコードスニペットが組み込まれています。検出された言語がロシア語(0x419)、ウクライナ語(0x22)、ベラルーシ語(0x23)などの場合、実行は停止されます。

図16.言語チェックのコード スニペットはBlackMatter/Darksideと同じです

5.T1490システム回復の禁止

• • シャドウコピーからの暗号化ファイルの回復を妨げるために、LockBit3.0はVSSサービスも終了し、削除します。その後、WMIインターフェイスを使用してディスクのシャドウコピーを削除します。

図17.WMIを介したシャドウコピーの削除

6.T1562.001防御の低下:ツールの無効化または変更

• • Windows Defenderを無効にするために、分析されたサンプルは、Windows Defender を停止する権限のある信頼されたインストーラーサービスのアクセストークンを複製します。このアクセストークンを利用して、Windows Defenderに関連付けられたサービスを効果的に停止および削除できます。

図18.文字列ハッシュの1つに一致するサービスを停止する

7.T1070.001インジケーターの削除:Windowsイベントログをクリアする

• • Windowsイベントログ内の痕跡を根絶するために、分析されたサンプルはイベントログをクリアし、対応するサービスを停止して、証拠が残らないようにします。

図19.Windowsイベントログの復号化されたスタック文字列

図20.LockBit3.0はClearEventLogW()でイベントログをクリアします

図21.Windowsイベントログサービスの終了と削除

8.T1489サービス停止

• • プロセスを停止するには、LockBit3.0はWindows API関数TerminateProcessを利用します。
  • サービスを停止するために、LockBit3.0はWindows API関数ControlServiceおよびDeleteServiceを使用します。

図22.分析されたサンプル内の停止したサービスとプロセス

9.T1486データは影響を与えるために暗号化されています

• • LockBit3.0には、IoCompletionPortを使用したマルチスレッドファイル暗号化アプローチが組み込まれています。

図23.ファイル暗号化のための複数のスレッドの作成

図24.マルチスレッドファイル暗号化を処理するためのメインロジック

• • 実行プロセス全体を通じて、身代金メモは最終的にファイルに書き込まれるまで難読化されたままになります。

図25.LockBit3.0の身代金メモ

図26.メモリ内の身代金メモ

• • 分析されたサンプルでは、​​アイコンと壁紙がC:\ProgramDataディレクトリ内に保存されます。

図27.LockBit3.0のアイコン

図28.LockBit3.0の壁紙 

LockBit3.0の防止策

1.StellarでLockBit3.0ランサムウェアを検出

TXOneのエンドポイント保護製品「Stellar」は、同時に稼働する従来の資産と最新の資産の両方に対して、中断のない保護と包括的な監視を提供するソリューションです。リアルタイムスキャンの高度な脅威スキャンを活用することで、悪意のあるソフトウェアをリアルタイムで検出することが可能です。このようなソフトウェアが検出されると、イベントログメッセージが表示され、感染したファイルの名前、パス、セキュリティリスクが通知されます。

図29.Stellarによって隔離されたLockBit3.0

2.Stellarは、アプリケーションロックダウンによってLockBit3.0ランサムウェアの実行を防ぐことができます

Stellarは、許可リストに明示的に含まれていないプログラム、DLLファイル、ドライバー、およびスクリプトの実行を防止できるアプリケーションロックダウンのサポートを提供します。悪意のあるソフトウェアをブロックし、誤った使用を防止することで、運用の整合性を確保し、ダウンタイムを削減し、特にパッチを適用できないシステムの柔軟性の向上によるコスト削減を実現します。

図30.StellarによってブロックされたLockBit3.0の実行

侵害の兆候(IoC)

参照

• [1] NorthwaveSecurity, GitHub – NorthwaveSecurity/lockbit3: An assortment of scripts used in the analysis of Lockbit 3.0, NorthwaveSecurity’s GitHub, Accessed Feb 26, 2023
• [2] Ivan Nicole Chavez, Byron Gelera, Katherine Casona, Nathaniel Morales, Ieriz Nicolle Gonzalez, Nathaniel Gregory Ragasa, LockBit Ransomware Group Augments Its Latest Variant, LockBit 3.0, With BlackMatter Capabilities, TrendMicro, July 25, 2022
• [3] Chuong Dong, Darkside Ransomware, Chuong Dong’s Blog, May 6, 2021
• [4] Chuong Dong, BlackMatter Ransomware v2.0, Chuong Dong’s Blog, Sep 5, 2021
• [5] Dana Behling, https://blogs.vmware.com/security/2022/10/lockbit-3-0-also-known-as-lockbit-black.html, VMware, Oct 15, 2022
• [6] Alexandre Mundo, LockBit3.0: A Threat that Persists, Trellix, Nov 17, 2022
• [7] Jim Walter, LockBit 3.0 Update | Unpicking the Ransomware’s Latest Anti-Analysis and Evasion Techniques, SentinalOne, Jul 21, 2022