Manuel Statik Analiz — LockBit 2.0 Ransomware | Tehdit: KRITIK
文件 Kimliği
| SHA256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |
|---|---|
| 大小 | 900.464 byte |
| String Sayisi | 4.369 |
Token Privilege Yükseltme
OpenProcessToken -- Hedef process token'ı aç AdjustTokenPrivileges -- SeDebugPrivilege / SeTakeOwnership ekle CheckTokenMembership -- Yönetici üyeliği kontrol SetFileSecurityW -- Dosya güvenlik tanımlayıcısı zorla yaz
String Tablosu (Ransomware Mesajları)
s:IDS_ALLFILES -- "Tüm dosyalar" string ID'si s:IDS_EXTRFILESTO -- Dosya çıkarma string ID s:IDS_EXTRFILESTOTEMP -- Geçici klasör çıkarma string ID
LockBit Hakkında
LockBit, 2019'dan beri aktif olan ve dünya genelinde en aktif RaaS ailesidir. LockBit 2.0 (Temmuz 2021) ile hız rekorları kırdı. Active Directory'yi Mimikatz ile istismar eder ve Group Policy üzerinden dağılır. Windows ve Linux (ESXi) versiyonları vardır. Interpol 2022 ve 2023 operasyonları ile liderler tutuklanmıştır.
IOC
| SHA256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |
|---|---|
| Teknik | AdjustTokenPrivileges + SetFileSecurityW |
LockBit2 — 恶意软件档案
LockBit 2.0, 2021 sonrası aktif RaaS. Hiz rekoru, AD/GP yayilim, Windows/Linux/ESXi. Interpol 2022-2023 operasyonu.
恶意软件类型
Ransomware
编程语言
C++
C2协议
HTTPS/TOR
目标系统
Kurumsal
能力与行为
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC列表 (1 个指标)
IOC — LockBit2
# SHA256
47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |