勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播，通常利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。该病毒性质恶劣、危害极大。

本期，我们将来讲讲近年来在全球活动频繁的勒索病毒代表——LockBit。

LockBit勒索病毒的前世今生

近日，日本最大货物港口名古屋港遭受勒索软件LockBit 3.0攻击，物流功能陷入瘫痪，病毒入侵系统导致5个集装箱码头装卸作业暂停，2万多个集装箱运输受到影响，给港口造成了巨大的财务损失，并严重扰乱了进出日本的货物流通。

此前不久，世界上最大的半导体制造公司台积电也受到了勒索软件团伙LockBit的网络攻击。该企业已经出现在该团伙的暗网受害者博客上，LockBit要求为被盗数据支付7000万美元赎金。台积电表示，其供应商之一的IT服务提供商Kinmax已经被入侵，这可能导致该芯片制造商的数据被盗。据了解，这是网络犯罪分子有史以来提出的最高赎金要求之一。

除了备受关注的日本名古屋港、台积电事件外，今年以来，LockBit组织再度活跃，许多大型企业都遭遇了LockBit3.0的“光顾”，受害者涵盖政府，能源、金融、航空航天、信息技术、制造业、交通等众多重要行业以及关键基础设施，其中制造业是重灾区，

毫无疑问，这场正在席卷全球的勒索攻击，产生的巨大危害足以国内外各行各业的企业与组织都闻风丧胆。

LockBit勒索软件发展现状

在过去的几年里，一些高调的勒索团伙活动频繁登上新闻头条，其中，LockBit团伙更是臭名昭著，成为“目前全球最猖獗的勒索软件团伙”，短短三年，其攻击的受害者数量已高达一千多个，有报告数据显示，在2022年5月份之前，LockBit在全球范围内打穿超过 850 多家企业机构的防御系统，占同时间段内所有勒索软件相关攻击事件的 46%。

据资料显示，尽管全球网络安全形势严峻，但在全球各地的强烈打击之下，2022年勒索攻击事件整体呈现下降趋势，在此背景下，LockBit却呈现出逆势大幅增长的趋势。如此成就得益于LockBit团伙所采用的勒索软件即服务（RaaS）商业模式，从开发到销售再到运营，勒索产业链各个环节的建立与协作已经成熟。

LockBit进阶历程

2019年9月，LockBit勒索病毒首次亮相，因其使用.abcd 的后缀名来标记已加密的受害者文件，被称惯为“ABCD”勒索软件。尽管早期版本的LockBit1.0加密技术并没有十分成熟，但依旧产生许多重大勒索事件。

2021年6月，经过短暂蛰伏，LockBit以LockBit2.0的崭新面貌高调回归。据了解，LockBit2.0勒索软件延续了前一版本攻击手法，但加密速度更快。LockBit团队宣称新版本是全世界加密速度最快的勒索软件，加密速度可达373MB/s，一分钟内大约可以加密25000个文件，并且加入了磁盘卷影和日志文件删除等新功能，使得加密后文件更难恢复。

2022年6月，LockBit勒索软件再次完成升级。LockBit 3.0持续针对Windows+Linux系统，采用AES+RSA算法加密文件，更改桌面墙纸，但赎金票据不再名为Restore-My-Files.txt，而是一个名为“[random_string].README.txt”）的随机动态文本，加密扩展名变化为“HLJkNskoq”或“19MqzqzOs”随机静态形式，且锁定文件的图标为ico形式。

LockBit 3.0推出仅2个多月的时间，就在其暗网网站上公布了二百多个受害者，可见其攻击频率之高。更可怕的是，Lockbit3.0还引入了勒索领域首个漏洞“赏金计划”，用于激励黑客来发现他们勒索软件的不足之处，足见其野心之大。

知己知彼：让Lockbit3.0在虚拟环境中重现

尽管国内企业鲜少有公开披露的勒索事件，但根据数据显示，中国仍是LockBit重点攻击的国家之一。未来，LockBit 的攻击规模和活跃程度将在未来持续扩大，这也给国内的企业、组织敲响了警钟，

作为国内首家自研高仿真网络底层支撑技术的网络靶场提供商，丈八网安认为，网络靶场是提升及验证网络安全技术能力的“试验场”，在靶场中进行环境验证及病毒攻击研究也是网络靶场的务实价值所在。

让lockbit3.0在虚拟环境中发起攻击并不简单，首先，通常情况下，以lockbit3.0为代表的勒索病毒大多会进行文件回传，如果网络环境不真实，会导致无法进行病毒扩散机理查看以及行为查看，并且捕获不到病毒的内网、横向、外传等阶段细节；另外，勒索病毒会在攻击过程中进行Bios识别、网卡识别或者虚拟机特征识别等，一旦识别出虚拟主机，病毒会选择停止运行和传播。因此，要想在靶场上进行真实的Lockbit3.0攻击研究，对所搭建的网络环境有着极高的要求。而传统的网络靶场大多是云计算底层架构，KVM、Docker等虚拟机特性明显，无法满足病毒的运行需求。

图:丈八网安-蛇矛实验室复现Lockbit 3.0攻击过程

针对上述勒索病毒的攻击特性，丈八网安提出了“恶意软件动态培养皿技术“，该技术能够动态对仿真环境做出调整，从而为病毒等恶意软件的运行提供一个”舒适“的环境。蛇矛实验室基于此技术搭建出满足Lockbit3.0真实运行的“病毒温床”，并进行了Lockbit3.0攻击链路复现：采用动态网络环境构建工具，快速仿真各类内网环境、公网环境以及漏洞环境，且该环境在运行态可随时调整和变更；依托动态DNS技术，快速实现病毒运行所需的DNS解析，进行病毒文件回传C2构建，满足病毒内网传播以及对外回传等相关环境要求；采用动态反反沙箱技术，能够完全隐藏虚拟机特性并模拟出典型互联网环境，欺骗病毒代码绕过其沙箱检测机制；此外，强大的数据采集能力能够让试验人员从各个层面清晰的观察病毒的运行全过程，对测试和研究起到重要的辅助作用。

目前，丈八网安已经为多家企业搭建了Lockbit3.0攻击复现及应急响应课程训练实战环境，帮助企业构建事前防御、事中响应、事后修复的全流程网络安全应急响应体系。

基于LockBit3.0的应急响应训练全过程

LockBit3.0勒索病毒主要使用钓鱼邮件攻击方式传播，当该勒索病毒入侵到主机后，会强行终止正在运行的进程服务，包括主机中的安全防护软件，并试图替代具备管理员权限的进程，删除系统中的安全日志，同时为逼迫用户支付赎金，采取全盘加密的方式加密用户的数据文件。由于传统安全软件主要针对已知病毒的查杀，无法查杀变种或新型勒索病毒，并且没有全盘数据的保护机制，难以阻止LockBit3.0勒索病毒的入侵。

图：LockBit3.0攻击链路

丈八网安专业安全研究团队蛇矛实验室针对LockBit3.0进行了深入研究，在所搭建的LockBit3.0复现场景中对病毒攻击的每个细节、特征进行了放大，通过操作攻击机发送钓鱼邮件、打开钓鱼邮件伪装的病毒、编译机将病毒编译到业务软件中到最终业务人员下载软件导致内网感染，以黑客视角模拟了LockBit3.0的攻击过程，用户从攻击端可以通过木马远控上线获取对方文件。另外，我们设置了“点击邮件”和“自动攻击”两种触发方式，便于学员感受真实的攻击效果。

图:攻击机发送带附件的钓鱼邮件

图：收到钓鱼邮件

摸清楚了LockBit3.0勒索病毒的典型行为特征，我们就能有更效防治勒索病毒。

LockBit3.0复现场景中，我们从病毒攻击前的端口检查、进程检查等入手，识别业务环境的异常情况，一旦发现受到勒索病毒攻击，需要第一时间进行断网，通过端口排查、异常进程检查、计划任务检查、自启动项检查、系统服务检查等一些列应急响应操作迅速定位外部入侵、恶意传播、横向移动等威胁行为，阻止进一步攻击，防止病毒扩散，进行病毒查杀，并最终通过靶场内置的解密工具进行Lockbit3.0解密和文件恢复，避免敏感文件被反复加密，保护企业内网环境。

图:Lockbit 3.0应急响应课程

在现实环境下，企业一旦收到勒索病毒攻击，及时减少损失是应急响应的最终目的。因此，在整个攻击复现过程中，丈八网安重点围绕学员的安全意识和应急响应能力来设置课程，通过LockBit3.0攻击过程实操培养学员以黑客的视角了解病毒攻击的过程，加深学员对病毒攻击的感知；通过防御过程和病毒查杀过程实操训练的反复学习，有效提升学员对攻击事件的快速处理能力以及迅速防御能力，以较低的成本提升企业安全防护能力，在保障企业业务连续性的同时进一步减少企业损失。

在日常业务工作中，针对诸如Lockbit3.0之流的勒索病毒攻击，丈八网安也建议各厂商做好安全防护措施，尽量降低被勒索病毒攻击的风险：

尽可能使用复杂密码；

重要数据及时备份；

加强员工网络安全意识，及时进行安全培训；

不要点击来源不明的邮件；

定期进行端口检查和病毒查杀。

另外，本次场景搭建的防御应用的涵盖了正常业务在遇到各种病毒木马攻击的时候进行的应急响应流程，不单单局限于一种攻击，可以让防御人员多次操作，逐步熟练查杀应急的技能，从而提高自身防御技术。

目前活跃在市面上的勒索攻击病毒种类繁多，每种勒索病毒也处于不断地更新变化之中，极高频率的变种使得传统的杀毒软件和防御手段往往不能满足企业的应对需求。因此，基于网络靶场的环境验证和攻防演练的作用逐渐突显，丈八网安作为网络靶场的运营商，持续针对新的威胁和病毒进行分析和场景复现，不断丰富靶场知识库，企业可以在虚拟的仿真网络环境中不断验证自身的防御能力，训练人员的应急响应能力以应对新的病毒攻击，规避业务和财产损失。

未来，丈八网安会继续围绕特种、工控、金融、政府、物联网、车联网、教育等领域，以真实业务需求为前提深入实践，帮助企业和人员从认识风险，到实战演练，最终提升预知风险及抵御风险的能力，以充分展示创新技术驱动之下的网络靶场务实价值。