Manuel Statik Analiz — LockBit 3.0 | Tehdit: KRİTİK
Dosya Kimliği
| SHA256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dosya Adı | bl3.exe (LockBit 3.0 builder kısaltması!) |
| Boyut | 994.457 byte (971KB) |
| String Sayisi | 4.994 |
bl3.exe: LockBit 3.0 Builder Dosya Adı
bl3.exe -- "bl3" = Black3 veya LockBit3 kısaltması -- LockBit 3.0 (aka LockBit Black): 2022'de yayımlanan gelişmiş versiyon - LockBit 2.0 → LockBit 3.0 = çifte gasp (fidye + veri sızdırma) - "Black" takma adı: diğer gruplardan (BlackMatter) alınan kod -- Builder: bu binary bir hedef sistem için derlenmiş LockBit 3.0 payload'ı -- WinRAR SFX: D:\Projects\WinRAR\sfx\build\sfxrar64\Release\sfxrar.pdb → SFX teslimat!
CryptProtectMemory + CryptUnprotectMemory: DPAPI Bellek Koruma
KRİPTO: Windows DPAPI ile şifreleme anahtarı bellekte korunuyor!
CryptProtectMemory -- Windows Data Protection API bellek şifreleme CryptUnprotectMemory -- DPAPI bellek şifre çözme -- "CryptProtectMemory" = DPAPI ile bellek bölgesini şifrele -- "CryptUnprotectMemory" = bellek şifre çözme (yalnızca aynı süreçte!) -- LockBit 3.0: dosya şifreleme anahtarını DPAPI ile bellekte kilitliyor - Anahtar yalnızca kendi sürecinde erişilebilir - Forensik analiz: bellek dökümünde anahtar şifreli görünür - Sandboxta: yeni süreçte çalıştırılırsa anahtar çözülemiyor! -- DPAPI ile anahtar koruma: LockBit 3.0'ın anti-forensik tekniği
IOC
| SHA256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
|---|---|
| Dosya Adı | bl3.exe (LockBit 3.0) |
| Kripto | CryptProtectMemory + CryptUnprotectMemory (DPAPI) |
LockBit — Malware Profile
LockBit 3.0 (LockBit Black). bl3.exe builder. CryptProtectMemory DPAPI key protection. WinRAR SFX delivery.
Malware Type
Ransomware
Programming Language
C++
C2 Protocol
—
Target Systems
Windows/Linux
Also Known As (AKA)
LockBit 3.0
Technical Details
C, RSA-2048 + AES-256 sifreleme (hibrid), vssadmin ile shadow copy silme, Active Directory enum, LockBit Builder ile ozel varyant uretimi, multi-threaded encryption, ransom note TXT/HTA
Capabilities & Behavior
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC List (1 indicators)
IOC — LockBit
# SHA256
032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0
| Type | Value | Note |
|---|---|---|
| sha256 | 032690f113289d50994457b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f0 |
C2 Servers (2 recorded servers for this family)
| Address | Type | Port | Protocol | Status | Country |
|---|---|---|---|---|---|
| 35.227.107.189 | ip | 443 | HTTPS | sinkholed | US |
| 89.185.85.239 | ip | 443 | HTTPS | sinkholed | NL |
C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.