Manuel Statik Analiz — LockBit 3.0 | Tehdit: CRÍTICO
Archivo Kimliği
| SHA256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Nombre de archivo | bl3.exe (LockBit 3.0 builder kısaltması!) |
| Tamaño | 994.457 byte (971KB) |
| String Sayisi | 4.994 |
bl3.exe: LockBit 3.0 Builder Nombre de archivo
bl3.exe -- "bl3" = Black3 veya LockBit3 kısaltması -- LockBit 3.0 (aka LockBit Black): 2022'de yayımlanan gelişmiş versiyon - LockBit 2.0 → LockBit 3.0 = çifte gasp (fidye + veri sızdırma) - "Black" takma adı: diğer gruplardan (BlackMatter) alınan kod -- Builder: bu binary bir hedef sistem için derlenmiş LockBit 3.0 payload'ı -- WinRAR SFX: D:\Projects\WinRAR\sfx\build\sfxrar64\Release\sfxrar.pdb → SFX teslimat!
CryptProtectMemory + CryptUnprotectMemory: DPAPI Bellek Koruma
KRİPTO: Windows DPAPI ile şifreleme anahtarı bellekte korunuyor!
CryptProtectMemory -- Windows Data Protection API bellek şifreleme CryptUnprotectMemory -- DPAPI bellek şifre çözme -- "CryptProtectMemory" = DPAPI ile bellek bölgesini şifrele -- "CryptUnprotectMemory" = bellek şifre çözme (yalnızca aynı süreçte!) -- LockBit 3.0: dosya şifreleme anahtarını DPAPI ile bellekte kilitliyor - Anahtar yalnızca kendi sürecinde erişilebilir - Forensik analiz: bellek dökümünde anahtar şifreli görünür - Sandboxta: yeni süreçte çalıştırılırsa anahtar çözülemiyor! -- DPAPI ile anahtar koruma: LockBit 3.0'ın anti-forensik tekniği
IOC
| SHA256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Nombre de archivo | bl3.exe (LockBit 3.0) |
| Kripto | CryptProtectMemory + CryptUnprotectMemory (DPAPI) |
LockBit — Perfil del malware
LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.
Tipo de malware
Ransomware
Lenguaje de programación
C++
Protocolo C2
—
Sistemas objetivo
Windows/Linux
También conocido como (AKA)
LockBit 3.0
Detalles técnicos
C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA
Capacidades y comportamiento
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
Lista IOC (1 indicadores)
IOC — LockBit
# SHA256
032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
Servidores C2 (2 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| 35.227.107.189 | ip | 443 | HTTPS | sinkholed | US |
| 89.185.85.239 | ip | 443 | HTTPS | sinkholed | NL |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.