1 初始访问

部署 LockBit 3.0 勒索软件的附属公司通过远程桌面协议 （RDP） 利用、路过式入侵 、网络钓鱼活动 T1566 获得对受害者网络的初始访问权限]、滥用有效帐户和利用面向公众的应用程序 。

2 执行和感染过程

在恶意软件例程期间，如果权限不足，LockBit 3.0 会尝试升级到所需的权限。LockBit 3.0 执行以下功能：

• 枚举系统信息，如主机名、主机配置、域信息、本地驱动器配置、远程共享和挂载的外部存储设备
• 终止进程和服务
• 启动命令
• 启用自动登录以实现持久性和权限提升
• 删除日志文件、回收站文件夹中的文件以及驻留在磁盘上的卷影副本 LockBit 3.0 尝试使用在编译时硬编码的预配置凭据列表或具有提升权限的受损本地帐户 在受害者网络中传播。编译后，LockBit 3.0 还可以启用使用服务器消息块 （SMB） 协议通过组策略对象和 PsExec 进行传播的选项。LockBit 3.0 尝试加密保存到任何本地或远程设备的 数据，但会跳过与核心系统功能相关的文件。 文件加密后，LockBit 3.0 会删除一张新文件名为 的赎金票据。README.txt主机的壁纸和图标，并将其更改为 LockBit 3.0 品牌 。如果需要，LockBit 3.0 会将加密的主机和机器人信息发送到命令和控制 （C2） 服务器。 一旦完成，LockBit 3.0 可能会从磁盘中删除自身，以及所做的任何组策略更新，这取决于在编译时设置的选项。

3 渗透

LockBit 3.0 附属公司使用 Stealbit，这是一种以前与 LockBit 2.0 一起使用的自定义渗透工具;rclone，一个开源命令行云存储管理器;以及公开可用的文件共享服务，例如 MEGA，以在加密之前泄露敏感的公司数据文件。虽然 rclone 和许多公开可用的文件共享服务主要用于合法目的，但它们也可以被威胁行为者用来帮助系统入侵、网络探索或数据泄露。LockBit 3.0 附属公司也经常使用其他公开可用的文件共享服务来泄露数据（见表 1）。