Manuel Statik Analiz — LockBit 3.0 Ransomware | Tehdit: KRITISCH
Datei Kimliği
| SHA256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dateiname | bl3.exe (BL3 = BLockBit 3 — açık OPSEC!) |
| Größe | 994.457 byte (970KB) |
| String Sayisi | 4.994 |
bl3.exe: LockBit 3.0 Kimliği Açıkta
OPSEC HATASI: Payload adı sürümü açık ediyor!
bl3.exe -- "bl" = BLockBit (LockBit kısaltması) -- "3" = sürüm 3.0 (LockBit 3 = "LockBit Black") -- Karşılaştır: LockBit 2 → "bl2.exe", LockBit 3 → "bl3.exe" -- Saldırgan: kendi payloadlarını bu şemaya göre isimlendiriyor -- OPSEC: isim sürüm tespitini kolaylaştırıyor
WinRAR SFX $GETPASSWORD1 Sarmalayıcı
$GETPASSWORD1:SIZE $GETPASSWORD1:CAPTION $GETPASSWORD1:IDC_PASSWORDENTER -- Bu stringler: WinRAR SFX (Self-Extracting Archive) kaynak dizesi -- LockBit 3: payload WinRAR SFX ile sarmalanmış -- SFX "infected" şifresi → payload açılır → bl3.exe çalışır -- WinRAR SFX sarmalama: imza tespitini zorlaştırır -- Aynı teknik: daha önce WinRAR SFX PDB stringlerinde görüldü
IOC
| SHA256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Datei | bl3.exe (LockBit 3.0) |
| Sarmalayıcı | WinRAR SFX |
LockBit — Malware-Profil
LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.
Malware-Typ
Ransomware
Programmiersprache
C++
C2-Protokoll
—
Zielsysteme
Windows/Linux
Auch bekannt als (AKA)
LockBit 3.0
Technische Details
C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA
Fähigkeiten & Verhalten
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC-Liste (1 Indikatoren)
IOC — LockBit
# SHA256
032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Typ | Wert | Bemerkung |
|---|---|---|
| sha256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
C2-Server (2 erfasste Server für diese Familie)
| Adresse | Typ | Port | Protokoll | Status | Land |
|---|---|---|---|---|---|
| 35.227.107.189 | ip | 443 | HTTPS | sinkholed | US |
| 89.185.85.239 | ip | 443 | HTTPS | sinkholed | NL |
C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.