Análise do documento XLL do LockBit   https://www.youtube.com/watch?v=cNP6QXX … e=youtu.be

Como alguns de vocês já sabem, agora que as macros de escritório da Internet estão desativadas e bloqueadas por padrão , muitos grupos APT também mudaram para o espalhamento XLL,

https://amp.thehackernews.com/thn/2022/ … l-add.html já que os arquivos .LNK são óbvios e é muito comum ver uma senha protegida .RAR/ZIP => .ISO => .LNK => .JS/.BAT/.PS1/.HTA/.CHM => .DLL e às vezes até soluções mais longas, como tipos de arquivo .URL, .WSH, .CHM, etc. Mesmo indo tão longe quanto arquivos .RTF que colocam arquivos de suplemento na pasta de inicialização do Office. Como sabemos, quanto mais obscuro e ruidoso for, mais sorte você tem, por isso é interessante ver o LockBit sempre se mantendo à frente com as pesquisas que saem da comunidade infosec.

Embora os lolbins sempre sejam uma ótima solução e mais e mais sejam encontrados todos os dias, achei interessante ver o LockBit escolher o método XLL de propagação, já que a maioria dos outros grandes grupos de ransomware usa as rotas mais longas mencionadas anteriormente (e acho que são brilhantes para escolher XLL sobre o último).

Em geral, tendo olhado um pouco de lockbits v2 depurado, o código é brilhante e verdadeiramente uma obra de arte sobre si mesmo, já que o ransomware não tem muitas instruções a longo prazo quando você o decompõe.

Mas pensei que compartilhar este vídeo e alguns pensamentos valeria uma pequena leitura para aqueles interessados ​​em acompanhar como os grandes titãs dão o primeiro passo mais crucial para lançar malware em um host sem disparar todos os alarmes.