Các nhà điều hành của LockBit ransomware đã liên tục cải tiến các chiến thuật, phương pháp và quy trình (TTPs) của chúng nhằm né tránh sự phát hiện và gia tăng mức độ thiệt hại trong bối cảnh mối đe dọa mạng luôn biến đổi.
Bằng cách khai thác kỹ thuật DLL sideloading và masquerading, những kẻ tấn công này ngụy trang các hoạt động độc hại bên trong các tiến trình hệ thống hợp pháp.
Điều này cho phép duy trì quyền truy cập dai dẳng và tích hợp liền mạch vào các môi trường bị xâm nhập.
TTPs Nâng Cao của LockBit Ransomware
Kỹ thuật DLL Sideloading và Masquerading
DLL sideloading lừa các ứng dụng đáng tin cậy tải các thư viện độc hại. Kỹ thuật này tận dụng cơ chế tải thư viện động của hệ điều hành, cho phép kẻ tấn công chèn mã độc vào các tiến trình hợp pháp.
Trong khi đó, masquerading đổi tên các tệp và tiến trình để bắt chước các tệp và tiến trình hợp lệ. Điều này khiến chúng không thể phân biệt được với các hoạt động hệ thống thông thường.
Cách tiếp cận này không chỉ tận dụng sự tin cậy vốn có của hệ thống mà còn làm phức tạp quá trình nhận diện của các công cụ bảo mật. Các chiến dịch gần đây cho thấy các payload của LockBit ransomware được đóng gói cùng với các tệp thực thi có chữ ký số hợp lệ, gây khó khăn cho việc phát hiện.
Quy Trình Tấn Công và Các Giai Đoạn Vận Hành
Giai Đoạn Khởi Tạo Truy Cập Ban Đầu
Các nhà điều hành bắt đầu cuộc tấn công bằng cách giành quyền truy cập ban đầu. Điều này thường thông qua các công cụ truy cập từ xa như MeshAgent hoặc TeamViewer.
Sau đó, chúng tải lên và thực thi các tệp trực tiếp trên các máy mục tiêu, thiết lập chỗ đứng ban đầu trong môi trường.
Leo Thang Đặc Quyền
Giai đoạn này tiếp theo là leo thang đặc quyền, sử dụng các tiện ích như NSSM (Non-Sucking Service Manager) để chạy các Remote Access Trojan (RATs) dưới dạng dịch vụ.
Các RAT này thường được đổi tên thành các tên tệp vô hại như edge.exe.exe hoặc o.exe. Kẻ tấn công cũng sử dụng PsExec để khởi tạo các cửa sổ nhắc lệnh dưới quyền SYSTEM, là quyền cao nhất trên hệ thống Windows.
Ví dụ lệnh được sử dụng:
PsExec64.exe -s -i cmdLệnh này cho phép kẻ tấn công thực thi các lệnh với đặc quyền cao nhất, mở rộng khả năng kiểm soát hệ thống bị xâm nhập.
Thu Thập Thông Tin và Khám Phá Mạng
Các giai đoạn khám phá liên quan đến việc sử dụng các công cụ tích hợp sẵn của hệ thống. Những công cụ này bao gồm net.exe, nltest.exe và query.exe.
Chúng được dùng để liệt kê người dùng miền, nhóm, mối quan hệ tin cậy và quyền hạn. Mục tiêu là thu thập thông tin tình báo chi tiết để hỗ trợ việc thâm nhập sâu hơn vào mạng.
Đánh Cắp Thông Tin Đăng Nhập
Việc đánh cắp thông tin đăng nhập được thực hiện bằng cách sử dụng các công cụ như TokenUtils.exe. Công cụ này được dùng để mạo danh các token đặc quyền cao, ví dụ NT AUTHORITY\SYSTEM, nhằm thực thi các lệnh.
Cùng với đó, Sd1.exe được sử dụng để trích xuất các vé Kerberos từ các bộ điều khiển miền (Domain Controllers). Việc này giúp kẻ tấn công có được các thông tin xác thực cần thiết để di chuyển ngang và duy trì quyền truy cập.
Di Chuyển Ngang
Di chuyển ngang tận dụng Group Policy để phân phối các payload qua mạng. Các payload này bao gồm các DLL ransomware, các tệp thực thi đã được ngụy trang, và các script PowerShell bị làm rối mã.
Các script PowerShell này có khả năng tạo ra các khóa ngẫu nhiên, mã hóa các loại tệp cụ thể (ví dụ: PDF, tài liệu, hình ảnh và tệp mã nguồn), và thêm các phần mở rộng như .xlockxlock vào các tệp bị mã hóa.
Tác Động và Triển Khai Payload
Tác động của LockBit ransomware đạt được thông qua các ví dụ DLL sideloading cụ thể:
- Tệp
jarsigner.exehợp pháp tải mộtjli.dllđộc hại để triển khai payload. - Tệp
MpCmdRun.exeđược đổi tên (thành<company_domain_name>.exe) và được sideload vớimpclient.dllchứa mã LockBit ransomware. - Tệp
Clink_x86.exeđược ngụy trang kết hợp vớiclink_dll_x86.dllđể thực hiện mã hóa.
Việc thực thi trực tiếp các binary ransomware như encth.exe hoặc dwa.exe tiếp tục mã hóa dữ liệu. Các binary này thường được đặt trong các thư mục hệ thống để ngụy trang, gây khó khăn cho việc phát hiện.
Bối Cảnh và Tình Hình Hoạt Động của LockBit
LockBit ransomware, được vận hành bởi nhóm Syrphid, đã tống tiền ước tính lên tới 500 triệu USD kể từ năm 2019.
Tuy nhiên, các gián đoạn trong năm 2024, bao gồm việc truy tố thủ lĩnh bị cáo buộc Dimitry Khoroshev và việc rò rỉ bộ builder của LockBit 3.0, đã dân chủ hóa việc sử dụng nó giữa các tác nhân không liên kết.
Phương Pháp Phát Hiện và Biện Pháp Đối Phó
Theo một báo cáo, các TTPs này, được quan sát trong các chiến dịch nhắm mục tiêu, nhấn mạnh sự cần thiết của các biện pháp phòng thủ mạnh mẽ.
Chỉ Số Nhận Diện (IOCs)
Các chỉ số nhận diện liên quan đến các TTPs của LockBit ransomware bao gồm:
- Phần mở rộng tệp bị mã hóa:
.xlockxlock - Tên tệp thực thi đã đổi tên:
edge.exe.exe,o.exe,<company_domain_name>.exe(được dùng để ngụy trang MpCmdRun.exe),Clink_x86.exe - Các thư viện độc hại (DLLs):
jli.dll,mpclient.dll,clink_dll_x86.dll - Binary ransomware:
encth.exe,dwa.exe - Công cụ độc hại được sử dụng:
MeshAgent,TeamViewer,NSSM,PsExec64.exe,net.exe,nltest.exe,query.exe,TokenUtils.exe,Sd1.exe - Chỉ số hành vi: Các tiến trình không đáng tin cậy truy cập LSASS, PsExec khởi chạy các lệnh đáng ngờ.
Phát Hiện và Bảo Vệ
Các giải pháp EDR (Endpoint Detection and Response) như Symantec EDR có khả năng phát hiện các bất thường thông qua tóm tắt AI.
Trong khi đó, Carbon Black cảnh báo về các hành vi như Ransom.LockBit, Heur.AdvML.B và SONAR.Ransomware!g3. Các giải pháp bảo vệ mạng cũng sẽ gắn cờ các hoạt động của TeamViewer và MeshAgent, với các tên miền C&C được phân loại là mạng độc hại rủi ro cao.
Các chỉ số hành vi bao gồm các tiến trình không đáng tin cậy truy cập LSASS (Local Security Authority Subsystem Service) hoặc PsExec khởi chạy các lệnh đáng ngờ.
Các tổ chức nên ưu tiên phát hiện xâm nhập trên các điểm cuối, giám sát các bất thường, và quản lý bản vá để chống lại các phương pháp tấn công lén lút này. Các kỹ thuật tương tự có thể triển khai các mã độc khác ngoài LockBit ransomware.
Để tìm hiểu thêm về các biện pháp phòng thủ chống lại ransomware, bạn có thể tham khảo các khuyến nghị từ CISA: CISA Stop Ransomware Guidance.
