Manuel Statik Analiz — LockBit 2.0 Ransomware | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |
|---|---|
| Boyut | 900.464 byte |
| String Sayisi | 4.369 |
Token Privilege Yükseltme
OpenProcessToken -- Hedef process token'ı aç AdjustTokenPrivileges -- SeDebugPrivilege / SeTakeOwnership ekle CheckTokenMembership -- Yönetici üyeliği kontrol SetFileSecurityW -- Dosya güvenlik tanımlayıcısı zorla yaz
String Tablosu (Ransomware Mesajları)
s:IDS_ALLFILES -- "Tüm dosyalar" string ID'si s:IDS_EXTRFILESTO -- Dosya çıkarma string ID s:IDS_EXTRFILESTOTEMP -- Geçici klasör çıkarma string ID
LockBit Hakkında
LockBit, 2019'dan beri aktif olan ve dünya genelinde en aktif RaaS ailesidir. LockBit 2.0 (Temmuz 2021) ile hız rekorları kırdı. Active Directory'yi Mimikatz ile istismar eder ve Group Policy üzerinden dağılır. Windows ve Linux (ESXi) versiyonları vardır. Interpol 2022 ve 2023 operasyonları ile liderler tutuklanmıştır.
IOC
| SHA256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |
|---|---|
| Teknik | AdjustTokenPrivileges + SetFileSecurityW |
LockBit2 — Malware Profili
LockBit 2.0, 2021 sonrası aktif RaaS. Hiz rekoru, AD/GP yayilim, Windows/Linux/ESXi. Interpol 2022-2023 operasyonu.
Malware Tipi
Ransomware
Programlama Dili
C++
C2 Protokolü
HTTPS/TOR
Hedef Sistemler
Kurumsal
Yetenekler ve Davranış
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC Listesi (1 gösterge)
IOC — LockBit2
# SHA256
47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1
| Tür | Değer | Not |
|---|---|---|
| sha256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |