Manuel Statik Analiz — LockBit 2.0 Ransomware | Tehdit: KRITIK
파일 Kimliği
| SHA256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |
|---|---|
| 크기 | 900.464 byte |
| String Sayisi | 4.369 |
Token Privilege Yükseltme
OpenProcessToken -- Hedef process token'ı aç AdjustTokenPrivileges -- SeDebugPrivilege / SeTakeOwnership ekle CheckTokenMembership -- Yönetici üyeliği kontrol SetFileSecurityW -- Dosya güvenlik tanımlayıcısı zorla yaz
String Tablosu (Ransomware Mesajları)
s:IDS_ALLFILES -- "Tüm dosyalar" string ID'si s:IDS_EXTRFILESTO -- Dosya çıkarma string ID s:IDS_EXTRFILESTOTEMP -- Geçici klasör çıkarma string ID
LockBit Hakkında
LockBit, 2019'dan beri aktif olan ve dünya genelinde en aktif RaaS ailesidir. LockBit 2.0 (Temmuz 2021) ile hız rekorları kırdı. Active Directory'yi Mimikatz ile istismar eder ve Group Policy üzerinden dağılır. Windows ve Linux (ESXi) versiyonları vardır. Interpol 2022 ve 2023 operasyonları ile liderler tutuklanmıştır.
IOC
| SHA256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |
|---|---|
| Teknik | AdjustTokenPrivileges + SetFileSecurityW |
LockBit2 — 악성코드 프로필
LockBit 2.0, 2021 sonrası aktif RaaS. Hiz rekoru, AD/GP yayilim, Windows/Linux/ESXi. Interpol 2022-2023 operasyonu.
악성코드 유형
Ransomware
프로그래밍 언어
C++
C2 프로토콜
HTTPS/TOR
대상 시스템
Kurumsal
기능 및 동작
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC 목록 (1 개 지표)
IOC — LockBit2
# SHA256
47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1
| 유형 | 값 | 메모 |
|---|---|---|
| sha256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |