Операторы вируса-вымогателя LockBit применяют все более изощренные подходы, чтобы избежать обнаружения, используя методы загрузки сторонних DLL-библиотек, которые эксплуатируют имеющееся доверие к легитимным приложениям.
Этот скрытый метод заключается в обмане легитимных приложений с цифровой подписью, заставляющих их загружать вредоносные динамические библиотеки вместо предназначенных им компонентов, что позволяет киберпреступникам выполнять вредоносные программы-вымогатели, маскируясь под доверенные системные процессы.
Этот метод оказался особенно эффективным, поскольку он использует механизм порядка поиска DLL в Windows, когда приложения ищут необходимые библиотеки в определенных последовательностях каталогов.
Стратегически размещая вредоносные библиотеки DLL с именами, идентичными легитимным, в каталогах, поиск которых выполняется до фактического расположения библиотек, злоумышленники могут перехватить процесс загрузки доверенных приложений.
Такой подход обходит многие традиционные , которые полагаются на репутацию приложений и цифровые подписи для обнаружения угроз.
Недавние кампании атак продемонстрировали эволюцию LockBit за пределы традиционных методов развертывания: теперь злоумышленники сочетают загрузку DLL со сторонними технологиями маскировки.
При запуске jarsigner.exe естественным образом пытается загрузить jli.dll для его функциональности, непреднамеренно загружая вредоносную версию, которая служит загрузчиком для полезной нагрузки LockBit.
Аналогичным образом группа эксплуатирует компоненты Защитника Windows, используя переименованный MpCmdRun.exe, замаскированный под доменные имена компании, в паре с вредоносным mpclient.dll.
Этот конкретный метод особенно коварен, поскольку он использует компоненты программного обеспечения безопасности для доставки вредоносного ПО, что значительно усложняет обнаружение для служб безопасности.
function gg($path) {
$ke = GER(32); $ig =GER(16);
$files=gci $path -Recurse -Include *.pdf, *.doc, *.docx, *.xls, *.xlsx
foreach ($file in $files) { EFI $file $key $iv $eee }
}
Процесс шифрования использует гибридную схему шифрования RSA и AES, встроенную в запутанные .
Файлы шифруются с использованием случайно сгенерированных ключей AES, которые затем шифруются с помощью встроенного открытого ключа RSA, что гарантирует невозможность расшифровки без соответствующего закрытого ключа, хранящегося у злоумышленников.
Программа-вымогатель атакует более тридцати различных расширений файлов и добавляет к зашифрованным файлам характерное расширение .xlockxlock, что делает последствия атаки немедленно заметными для жертв и обеспечивает комплексное шифрование данных в различных типах файлов, которые обычно встречаются в корпоративных средах.
Аналитики по анализу угроз безопасности множество случаев, когда злоумышленники переименовывают вредоносные исполняемые файлы, чтобы имитировать доменные имена компаний, что еще больше повышает их способность вписываться в законный сетевой трафик и избегать обнаружения системами мониторинга безопасности.
Еще одна недавняя цепочка атак LockBit (Источник – Безопасность)
Было замечено, что группа вирусов-вымогателей нацеливается на крупные организации, используя для этого первоначальный доступ через инструменты удаленного управления, такие как MeshAgent и TeamViewer, а затем развертывает свой сложный для обеспечения устойчивости и выполнения зашифрованной полезной нагрузки.
Расширенная реализация боковой загрузки DLL
Реализация LockBit боковой загрузки DLL демонстрирует выдающуюся техническую сложность, используя три основные комбинации законных приложений для доставки своей полезной нагрузки-вымогателя.
Самый яркий пример касается компонентов платформы Java Jarsigner.exe и jli.dll, где злоумышленники помещают легитимный jarsigner.exe вместе с вредоносным jli.dll в один и тот же каталог.
