

最新分析揭示LockBit 5.0核心能力与两阶段执行模型

FreeBuf

2025-11-09

导读：LockBit 5.0升级两阶段攻击模型，隐蔽性更强，威胁关键基础设施。

LockBit 5.0于2025年9月下旬首次亮相，标志着这一臭名昭著的勒索软件即服务（RaaS）组织实现了重大升级。该组织可追溯至2019年的ABCD勒索软件，尽管面临执法部门的严厉打击和附属面板泄露事件，其技术复杂度仍在持续提升，且该组织的攻击不分行业和地域界限。

Part01

模块化架构革新

最新版本基于现有的v4.0代码库构建，但引入了旨在最大化规避检测和破坏效果的新方法，可针对各类组织网络实施攻击。FlashPoint安全分析师指出，LockBit 5.0独特的模块化架构是该勒索软件持续演进过程中的显著创新。详细技术分析表明，该恶意软件通过先进的执行和混淆策略，持续对关键基础设施构成威胁。

目前观测到的大规模攻击活动已突破地域和行业边界，进一步巩固了LockBit在隐蔽性与适应性方面的“声誉”。其中最具代表性的技术突破是两阶段执行模型，该模型将感染过程精准划分为加载器与载荷两个阶段。

Part02

核心技术实现机制

初始阶段采用具备持久化与反分析能力的隐蔽加载器，通过控制流混淆技术动态计算执行路径，大幅增加逆向工程难度。加载器使用哈希算法动态解析API调用，随后重新加载核心库（如NTDLL和Kernel32）的原始副本，有效绕过安全工具设置的钩子函数。

在创建defrag.exe的挂起实例后，通过进程镂空技术注入解密后的有效载荷，并借助ZwWriteProcessMemory更新指令指针，最终在内存中恢复执行。整个过程成功规避标准检测机制。

// Process hollowing code snippet excerptHANDLE hProcess = CreateProcess("defrag.exe", ...);ZwWriteProcessMemory(hProcess, ...); // 注入LockBit有效载荷ResumeThread(hProcess);