Manuel Statik Analiz — LockBit 2.0 Ransomware | Tehdit: KRITIK
Файл Kimliği
| SHA256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |
|---|---|
| Размер | 900.464 byte |
| String Sayisi | 4.369 |
Token Privilege Yükseltme
OpenProcessToken -- Hedef process token'ı aç AdjustTokenPrivileges -- SeDebugPrivilege / SeTakeOwnership ekle CheckTokenMembership -- Yönetici üyeliği kontrol SetFileSecurityW -- Dosya güvenlik tanımlayıcısı zorla yaz
String Tablosu (Ransomware Mesajları)
s:IDS_ALLFILES -- "Tüm dosyalar" string ID'si s:IDS_EXTRFILESTO -- Dosya çıkarma string ID s:IDS_EXTRFILESTOTEMP -- Geçici klasör çıkarma string ID
LockBit Hakkında
LockBit, 2019'dan beri aktif olan ve dünya genelinde en aktif RaaS ailesidir. LockBit 2.0 (Temmuz 2021) ile hız rekorları kırdı. Active Directory'yi Mimikatz ile istismar eder ve Group Policy üzerinden dağılır. Windows ve Linux (ESXi) versiyonları vardır. Interpol 2022 ve 2023 operasyonları ile liderler tutuklanmıştır.
IOC
| SHA256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |
|---|---|
| Teknik | AdjustTokenPrivileges + SetFileSecurityW |
LockBit2 — Профиль вредоносного ПО
LockBit 2.0, 2021 sonrası aktif RaaS. Hiz rekoru, AD/GP yayilim, Windows/Linux/ESXi. Interpol 2022-2023 operasyonu.
Тип вредоносного ПО
Ransomware
Язык программирования
C++
C2 Протокол
HTTPS/TOR
Целевые системы
Kurumsal
Возможности и поведение
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
Список IOC (1 индикаторов)
IOC — LockBit2
# SHA256
47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |