威胁分析报告：StealBit数据泄露工具功能及架构分析

StealBit恶意软件是LockBit勒索组织开发的数据泄露工具，可以将文件内容泄露到远程攻击者控制的端点以进行双重勒索。12月16日，研究人员发布报告，介绍了StealBit的功能和架构。

StealBit恶意软件要点

1、功能更新和扩大的目标群

相对较旧和较新的StealBit样本之间的比较分析表明，StealBit一直在改进新功能，特别是规避和隐藏功能。此外，虽然较旧的样本无法在位于前苏联国家俄罗斯、乌克兰、白俄罗斯、塔吉克斯坦、亚美尼亚、阿塞拜疆、格鲁吉亚、哈萨克斯坦、吉尔吉斯斯坦、土库曼斯坦、乌兹别克斯坦和摩尔多瓦的系统上执行，但较新的StealBit样本并未实施此限制并在任何系统上执行。

2、专为最大限度提高数据过滤效率而开发

StealBit实现了Microsoft输入/输出(I/O)完成端口线程模型，以最大限度地提高数据渗透活动的整体效率。例如，StealBit对多个文件的内容进行并行渗透，以缩短整体渗透时间。这对勒索软件运营商来说很重要，因为快速的数据渗透减少了在这个过程中被发现的机会。

3、专为最大限度提高数据过滤效率而开发

StealBit实现了Microsoft输入/输出(I/O)完成端口线程模型，以最大限度地提高数据渗透活动的整体效率。例如，StealBit对多个文件的内容进行并行渗透，以缩短整体渗透时间。这对勒索软件运营商来说很重要，因为快速的数据渗透减少了在这个过程中被发现的机会。

4、功能实现不完整

我们分析的一些StealBit功能的实现并不完整。这包括LockBit威胁组织宣传的对地下市场上的替代渗透工具有利的功能，例如压缩被盗数据和隐藏的操作模式。例如，我们分析的最近一个StealBit样本没有压缩泄露的数据，也没有正确隐藏StealBit创建的窗口，从而使恶意软件在受感染系统的图形用户界面中可见。

5、检测到并阻止了StealBit恶意软件

Cybereason XDR平台当恶意软件泄漏数据时，有效地检测和防止窃取，并且还检测和防止相关的执行LockBit勒索软件，LockBit关联公司在使用StealBit泄漏数据进行双重勒索后可能会执行该命令。

6、Cybereason管理的检测和响应(MDR)

Cybereason GSOC对涉及勒索软件和StealBit等数据渗透工具的攻击持零容忍态度，并将此类攻击归类为严重的高严重性事件。这Cybereason GSOC MDR团队当此类事件发生时，向客户发布一份全面的报告。该报告对事件进行了深入概述，有助于确定危害程度以及对客户环境的影响。此外，该报告尽可能提供归因信息以及减轻和隔离威胁的建议。

StealBit数据渗透速度更胜一筹

2021年6月，LockBit组织推出LockBit 2.0勒索软件即服务，招募附属机构。LockBit小组通过比较了其他勒索组织工具和StealBit之间的速度差异，称StealBit工具在数据泄露速度方面更胜一筹，如下图：

StealBit工具首先评估进程环境块(PEB)的NtGlobalFlag字段的值，如果NtGlobalFlag的值为0x70，则StealBit执行一个空的无限循环。随后加载“advapi32,gdi32,gdiplus,shell32,ntdll,ole32,user32,shlwapi,kernel32,and ws2_32”等DLL。然后解密恶意软件存储在恶意软件的可执行文件中的RC4加密字符串。

StealBit恶意软件线程:I/O完成端口

StealBit实现了I/O完成端口线程模型，从而在受影响的系统上最大限度提高文件内容泄露活动的整体效率。下图描绘了 StealBit 实现的 I/O 完成端口线程模型：

较早的 StealBit 样本不支持命令行参数-hide/-h、-delete/-d、-net/-n、-once/-o、-skipfiles、-skipfolders和-file/-f以及这些参数所配置的功能，如自删除和数据泄露率。 此外，相对较早的样本不会在位于俄罗斯、乌克兰、白俄罗斯、塔吉克斯坦、亚美尼亚、阿塞拜疆、格鲁吉亚等前苏联国家的系统上执行。StealBit 根据系统的默认语言确定受感染系统的位置。相对较新的示例没有此限制，允许在任何系统上执行。

StealBit工具可以为勒索团伙提供最大限度的数据泄露效率。相对较旧和较新的StealBit样本之间的比较分析表明，StealBit一直在改进其功能，尤其是规避和隐藏功能。