Manuel Statik Analiz — LockBit 2.0 Ransomware | Tehdit: KRITIK
Dosya Kimliği
| SHA256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |
|---|---|
| Boyut | 900.464 byte |
| String Sayisi | 4.369 |
Token Privilege Yükseltme
OpenProcessToken -- Hedef process token'ı aç AdjustTokenPrivileges -- SeDebugPrivilege / SeTakeOwnership ekle CheckTokenMembership -- Yönetici üyeliği kontrol SetFileSecurityW -- Dosya güvenlik tanımlayıcısı zorla yaz
String Tablosu (Ransomware Mesajları)
s:IDS_ALLFILES -- "Tüm dosyalar" string ID'si s:IDS_EXTRFILESTO -- Dosya çıkarma string ID s:IDS_EXTRFILESTOTEMP -- Geçici klasör çıkarma string ID
LockBit Hakkında
LockBit, 2019'dan beri aktif olan ve dünya genelinde en aktif RaaS ailesidir. LockBit 2.0 (Temmuz 2021) ile hız rekorları kırdı. Active Directory'yi Mimikatz ile istismar eder ve Group Policy üzerinden dağılır. Windows ve Linux (ESXi) versiyonları vardır. Interpol 2022 ve 2023 operasyonları ile liderler tutuklanmıştır.
IOC
| SHA256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |
|---|---|
| Teknik | AdjustTokenPrivileges + SetFileSecurityW |
LockBit2 — Malware Profile
LockBit 2.0, 2021 sonrası aktif RaaS. Hiz rekoru, AD/GP yayilim, Windows/Linux/ESXi. Interpol 2022-2023 operasyonu.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
HTTPS/TOR
Target Systems
Kurumsal
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — LockBit2
# SHA256
47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1
| Type | Value | Note |
|---|---|---|
| sha256 | 47c6ba872eea70cf59233fabbdb6d1978cfc7c5602d471a3e8b5c0f9d2e4a7b1 |