Manuel Statik Analiz — LockBit 3.0 | Tehdit: CRITIQUE
Fichier Kimliği
| SHA256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Nom du fichier | bl3.exe (LockBit 3.0 builder kısaltması!) |
| Taille | 994.457 byte (971KB) |
| String Sayisi | 4.994 |
bl3.exe: LockBit 3.0 Builder Nom du fichier
bl3.exe -- "bl3" = Black3 veya LockBit3 kısaltması -- LockBit 3.0 (aka LockBit Black): 2022'de yayımlanan gelişmiş versiyon - LockBit 2.0 → LockBit 3.0 = çifte gasp (fidye + veri sızdırma) - "Black" takma adı: diğer gruplardan (BlackMatter) alınan kod -- Builder: bu binary bir hedef sistem için derlenmiş LockBit 3.0 payload'ı -- WinRAR SFX: D:\Projects\WinRAR\sfx\build\sfxrar64\Release\sfxrar.pdb → SFX teslimat!
CryptProtectMemory + CryptUnprotectMemory: DPAPI Bellek Koruma
KRİPTO: Windows DPAPI ile şifreleme anahtarı bellekte korunuyor!
CryptProtectMemory -- Windows Data Protection API bellek şifreleme CryptUnprotectMemory -- DPAPI bellek şifre çözme -- "CryptProtectMemory" = DPAPI ile bellek bölgesini şifrele -- "CryptUnprotectMemory" = bellek şifre çözme (yalnızca aynı süreçte!) -- LockBit 3.0: dosya şifreleme anahtarını DPAPI ile bellekte kilitliyor - Anahtar yalnızca kendi sürecinde erişilebilir - Forensik analiz: bellek dökümünde anahtar şifreli görünür - Sandboxta: yeni süreçte çalıştırılırsa anahtar çözülemiyor! -- DPAPI ile anahtar koruma: LockBit 3.0'ın anti-forensik tekniği
IOC
| SHA256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Nom du fichier | bl3.exe (LockBit 3.0) |
| Kripto | CryptProtectMemory + CryptUnprotectMemory (DPAPI) |
LockBit — Profil du malware
LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.
Type de malware
Ransomware
Langage de programmation
C++
Protocole C2
—
Systèmes ciblés
Windows/Linux
Aussi connu sous (AKA)
LockBit 3.0
Détails techniques
C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA
Capacités et comportement
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
Liste IOC (1 indicateurs)
IOC — LockBit
# SHA256
032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Valeur | Note |
|---|---|---|
| sha256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
Serveurs C2 (2 serveurs enregistrés pour cette famille)
| Adresse | Type | Port | Protocole | Statut | Pays |
|---|---|---|---|---|---|
| 35.227.107.189 | ip | 443 | HTTPS | sinkholed | US |
| 89.185.85.239 | ip | 443 | HTTPS | sinkholed | NL |
Les adresses C2 proviennent uniquement d'échantillons de malwares vérifiés manuellement par l'équipe KEYDAL. Toute utilisation commerciale est interdite.