今月に入ってからLockbit集団は、初めてバグ報奨金プログラムを開始したとの発表がありました。このプログラムは世界中のハッカー集団にマルウェアのバグを発見してもらい、アイデアが採用されると報奨金を出すようです。今回の新バージョンサンプルは、Arda Buyukkaya氏のツイッターで公開されています。暗号化された後の壁紙はLockbit Blackと表示され、BlackCatランサムウェアの手法に類似していることがわかりました。今回はこの２つのランサムウェアの共通点なども見ながらLockbit Blackに迫ってみましょう。

Lockbit Black - 実行

 BlackCatランサムウェアが実行する際にアクセストークンを必須するのと同じく、Lockbit Black (Lockbit 3.0)ランサムウェアは、実行するのにパラメーターを取得するようなメカニズムになっています。Arda Buyukkaya氏がツイッターでこの事について公開しています。

図1. 実行コマンド

Lockbit Black - パッカーとダイナミックインポート

Lockbit Blackのインポートテーブルは、ほとんど空の状態のパッカー構造となっています。API機能は排他的論理和(XOR)を使って、復号化する時にトランポリン機能を呼ぶことでダイナミックな解決仕様となっています。

図2. XORを実行するトランポリン機能

Lockbit Black -  UAC バイパス

管理者権限以外で実行する際に、Lockbit BlackはCMSTPLUA COMをインターフェイスとするUACバイパスを試みます。

Lockbit Black -  サービス削除及びプロセス停止

Lockbit Blackは予めブラックリストを作成して該当するサービスとプロセスのリストを作成しています。新バージョンは旧バージョンよりも更に短いリストになっています。このリスト内のサービスが表示されると削除されるような仕組みになっています。新バージョンのリストは旧バージョンでいくつかのリストが削除されたものと、BlackCatのリストを組み合わせたリストのように見受けられます。以下の項目は、新バージョンのショートブラックリストになります。

1. vss 

2. sql 

3. svc$ 

4. memtas 

5. mepocs 

6. msexchange 

7. sophos 

8. veeam 

9. backup 

10 .GxVss 

11. GxBlr 

12. GxFWD 

13. GxCVD 

14. GxCIMgr 

図 3.  Lockbit Black によって削除されたサービス

また新バージョンでは、PC上で以下のプロセスが稼働していると、旧バージョンと同じくプロセスを停止するような仕組みになっています。

1. sql 

2. oracle 

3. ocssd 

4. dbsnmp 

5. synctime 

6. agntsvc 

7. isqlplussvc 

8. xfssvccon 

9. mydesktopservice 

10. ocautoupds 

11. ncsvc 

12. firefox 

13. tbirdconfig 

14. mydesktopqos 

15. ocomm 

16. dbeng50 

17. sqbcoreservice 

18. excel 

19. infopath 

20. msaccess 

21. mspub 

22. onenote 

23. outlook 

24. powerpnt 

25. steam 

26. thebat 

27. thunderbird 

28. visio 

29. winword 

30. wordpad 

31. notepad 

図4. Process Termination プロセス停止実行

Lockbit Black - デフォルト言語設定チェック

旧バージョンのLockbitランサムウェアでは、ユーザシステム上でデフォルト言語設定をWindows API callsであるGetSystemDefaultUILanguageとGetUserDefaultUILanguageを介してチェックする仕組みになっています。言語コードが以下のテーブル番号と一致する場合、プログラムはシャットダウンします。新バージョンはシリア共和国を含むリストが、旧バージョンよりもさらに追加されています。

419 - Russian 

422 - Ukrainian 

423 - Belarusian 

428 - Tajik 

42B - Armenian 

42C - Azerbaijani (Latin) 

437 - Georgian  

43F - Kazakh 

440 - Kyrgyz  

442 - Turkmen  

443 - Uzbek (Latin) 

444 - Tatar 

818 - Romanian (Moldova) 

819 - Russian (Moldova) 

82C - Azerbaijani (Cyrillic) 

843 - Uzbek (Cyrillic) 

2801 - Arabic (Syria) 

Lockbit Black - Mutex （ミューテックス）

Lockbit Black は “2cae82bd1366f4e0fdc7a9a7c12e2a6b” mutex (ミューテックス)を作成します。

Lockbit Black - 新アイコン、壁紙とランサムノート

新バージョンのLockbitはアイコン、壁紙及びランサムノートも刷新しています。

 図5. Lockbit ブラックアイコン

図6. Lockbiit Black　壁紙

図7. ランサムノート文言

新しいランサムノートはテキストファイルで内容が記載されています。イーロンマスク氏のツイッター引用文もあったり、ツイッターの＃lockbitハッシュタグページへのリンクなども掲載されています。またいくつかのチャットリストURLはダークネットウエブサイトへリンク付けされています。

Lockbit Black - デバッガからスレッドを隠蔽

新バージョンは、デバッガからスレッドを隠す動作を採用しています。

スレッド隠蔽は非文書値であるTHREAD_INFORMATION_CLASS::ThreadHideFrom Debugger (0x11)とTheNtSetInformationThreadAPIを呼ぶことで実行されます。

図8. デバッガから隠れているスレッド

Lockbit Black - Windows Defender ログ不正アクセス

Lockbit Blackは‘ChannelAccess’を‘(O:BAG:SYD:(A;;0x1;;;SY)(A;;0x5;;;BA)(A;;0x1;;;LA)’へ変更するのと同時に、

‘HKLMSoftware\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-Windows Defender/Operational\Enabled’を’0’へ設定することでWindows Defenderを無効化します。

図9. Windows Defenderログの無効化

他のランサムウェアについても暗号化する際にいくつかのスレッドを利用することで、迅速かつ効果的に起動するようになります。

MinervaはUACバイパスを防御することでLockbit3.0を完全防御可能

Minervaのユーザであれば、Lockbit Blackの早期段階攻撃であるUACバイパスステージで先制防御します。

図10. MinervaがUACバイパスを防御したイベント

Minerva製品（Minerva Armor）についてのお問い合わせはPico Technologies (info@pico-t.co.jp)までお願い致します。