Manuel Statik Analiz — LockBit 3.0 | Tehdit: 重大

ファイル Kimliği

SHA256032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
ファイル名bl3.exe (LockBit 3.0 builder kısaltması!)
サイズ994.457 byte (971KB)
String Sayisi4.994

bl3.exe: LockBit 3.0 Builder ファイル名

bl3.exe
-- "bl3" = Black3 veya LockBit3 kısaltması
-- LockBit 3.0 (aka LockBit Black): 2022'de yayımlanan gelişmiş versiyon
  - LockBit 2.0 → LockBit 3.0 = çifte gasp (fidye + veri sızdırma)
  - "Black" takma adı: diğer gruplardan (BlackMatter) alınan kod
-- Builder: bu binary bir hedef sistem için derlenmiş LockBit 3.0 payload'ı
-- WinRAR SFX: D:\Projects\WinRAR\sfx\build\sfxrar64\Release\sfxrar.pdb → SFX teslimat!

CryptProtectMemory + CryptUnprotectMemory: DPAPI Bellek Koruma

KRİPTO: Windows DPAPI ile şifreleme anahtarı bellekte korunuyor!
CryptProtectMemory       -- Windows Data Protection API bellek şifreleme
CryptUnprotectMemory     -- DPAPI bellek şifre çözme
-- "CryptProtectMemory" = DPAPI ile bellek bölgesini şifrele
-- "CryptUnprotectMemory" = bellek şifre çözme (yalnızca aynı süreçte!)
-- LockBit 3.0: dosya şifreleme anahtarını DPAPI ile bellekte kilitliyor
  - Anahtar yalnızca kendi sürecinde erişilebilir
  - Forensik analiz: bellek dökümünde anahtar şifreli görünür
  - Sandboxta: yeni süreçte çalıştırılırsa anahtar çözülemiyor!
-- DPAPI ile anahtar koruma: LockBit 3.0'ın anti-forensik tekniği

IOC

SHA256032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
ファイル名bl3.exe (LockBit 3.0)
KriptoCryptProtectMemory + CryptUnprotectMemory (DPAPI)

LockBit — マルウェアプロファイル

LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.

マルウェアの種類
Ransomware
プログラミング言語
C++
C2プロトコル
標的システム
Windows/Linux
別名 (AKA)
LockBit 3.0

技術詳細

C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA

機能と挙動

Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)

IOCリスト (1 件の指標)

IOC — LockBit
# SHA256 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
タイプメモ
sha256 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0

C2サーバー (このファミリーで2台のサーバーを記録)

アドレス タイプ ポート プロトコル ステータス
35.227.107.189 ip 443 HTTPS sinkholed US
89.185.85.239 ip 443 HTTPS sinkholed NL

C2アドレスはKEYDALチームが手動で検証したマルウェア検体のみに基づいて提供されています。商用利用は禁止です。

タグ
lockbitlockbit3bl3-exe-lockbit3-builder-namecryptprotectmemory-cryptunprotectmemory-dpapi-memorywinrar-sfx-sfxrar64-deliverygettickcountcomp-isdebuggerpresent