Initial Access (первоначальный доступ)
Drive by compromise (Теневая компрометация)
T1489LockBit получают доступ к системе через пользователя, посещающего веб-сайт в ходе обычного просмотра.
Exploit Public-Facing Application (недостатки в общедоступном приложении)
T1190LockBit 3.0 может использовать уязвимости (например, Log4Shell) в интернет-системах для получения доступа к инфраструктуре жертв.
External Remote Services (Внешние службы удаленного доступа)
T1133 Использование RDP для получения доступа к сетям жертв.
Phishing (Фишинг)
T1566Используется фишинг для доступа в сеть жертвы
Valid Accounts (Существующие учетные записи)
T1078 Получение существующих учетных записей для получения первоначального доступа
Execution (Выполнение)
Command and Scripting Interpreter: Windows Command Shell (Интерпретаторы командной строки и сценариев)
T1059.003Использование пакетных сценариев для выполнения вредоносных команд.
Software Deployment Tools (Средства развертывания ПО)
T1072Использование Chocolatey, менеджер пакетов командной строки для Windows.
System Services: Service Execution (Системные службы)
T1569.002 LockBit 3.0 применяет PsExec для выполнения команд или полезных данных.
Persistence (Закрепление)
Boot or Logon Autostart Execution (Автозапуск при загрузке или входе в систему)
T1547LockBit обеспечивают автоматический вход в систему.
Valid Accounts (действительные аккаунты)
T1078Использование скомпрометированной учетной записи пользователя для обеспечения постоянного присутствия в целевой сети.
Defense Evasion (Предотвращение обнаружения)
Execution Guardrails: Environmental Keying (Ограничение н использование\ Использование ключей на основе окружения)
T1480.001LockBit 3.0 расшифровывает основной компонент или продолжает расшифровывать и/или распаковывать данные только в том случае, если введен правильный пароль.
Impair Defenses: Disable or Modify Tools (Ослабление защиты: отключение или изменения инструментов)
T1562.001Аффилированные лица LockBit 3.0 используют такие инструменты, как Backstab, Defender Control, GMER, PCHunter, PowerTool, Process Hacker или TDSSKiller, чтобы отключить процессы и службы EDR.
Так же используется Bat Armor для обхода политики выполнения PowerShell.
Аффилированные лица LockBit могут применять пакетный скрипт 123.bat для отключения и удаления антивирусного программного обеспечения.
LockBit 3.0 может изменять и/или отключать средства безопасности, включая EDR и антивирусы, чтобы избежать возможного обнаружения вредоносного ПО, инструментов и активности.
Indicator Removal: Clear Windows Event Logs (Удаление индикаторов\Очистка журналов событий Windows)
T1070.001 После окончания шифрования LockBit чистит Windows Event Log
Indicator Removal: File Deletion (Удаление индикаторов\ Удаление файлов)
T1070.004 LockBit 3.0 сам себя удаляет после завершения шифрования
Obfuscated Files or Information (Обфускация файлов или данных)
T1027LockBit 3.0 будет отправлять зашифрованную информацию о хосте на свои серверы управления и контроля (C2).
Obfuscated Files or Information: Software Packing (Обфускация файлов или данных)
T1027.002Аффилиаты LockBit могут выполнять упаковку программного обеспечения или защиту программного обеспечения виртуальных машин, чтобы скрыть свой код. Для этой цели использовался Blister Loader.
Credential Access (Доступ к учетным записям)
Brute Force T1110Аффилиаты LockBit могут использовать учетные данные VPN или RDP добытые методом «брутфорса» в качестве первоначального доступ.
Credentials from Password Stores: Credentials from Web Browsers (Учетные данные из хранилищ паролей)
T1555.003 Участники LockBit 3.0 используют PasswordFox для восстановления паролей из браузера Firefox.
OS Credential Dumping (Получение дампа уетных записей ОС)
T1003Субъекты LockBit 3.0 используют ExtPassword или LostMyPassword для восстановления паролей из систем Windows.
OS Credential Dumping: LSASS Memory (Получение дампа учетных записей ОС\ Память процесса LSASS)
T1003.001LockBit может использовать Microsoft Sysinternals ProDump для дампа содержимого lsass.exe. Так же LockBit использовали Mimikatz для сбора учетных данных.
Discovery (Обнаружение)
Network Service Discovery (Изучение сетевых служб)
T1046Использование сетевого сканера SoftPerfect, Advanced IP Scanner или Advanced Port Scanner, AdFind для сканирования и энумерации целевых сетей.
System Information Discovery (Изучение системы)
T1082LockBit будет определять системную информацию, включая имя хоста, конфигурацию хоста, информацию о домене, конфигурацию локального диска, удаленные общие ресурсы и подключенные внешние устройства хранения.
System Location Discovery: System Language Discovery (Изучение местоположения системы\ Язык системы)
T1614.001LockBit 3.0 не будет заражать компьютеры с языковыми настройками, которые соответствуют определенному списку исключений.
Lateral Movement (Перемещение внутри периметра)*
Remote Services: Remote Desktop Protocol (Службы удаленного доступа)
T1021.001Использование ПО для удаленного рабочего стола Splashtop для облегчения перемещения по инфраструктуре.
Remote Services: Server Message Block (SMB)/Admin Windows Shares (Общие SMB- и административные ресурсы Windows)
T1021.002Использование Cobalt Strikeи атака SMB ресурсов для дальнейшего передвижения
Collection (Сбор данных)
Archive Collected Data: Archive via Utility T1560.001 (Архивация собранных данных)
Использование 7-zip архиватора для сжатия и шифрования данных готовых к выгрузке
Command and Control (организация управления)
Application Layer Protocol: File Transfer Protocols (Протокол прикладного уровня\Протоколы передачи данных)
T1071.002Использование FileZilla для С2
Application Layer Protocol: Web Protocols (Протокол прикладного уровня\Веб протоколы)
T1071.001Использование ThunderShell в качестве инструмента удаленного доступа, который обменивается данными через HTTP-запросы.
Non-Application Layer Protocol (Протоколы неприкладного уровня)
T1095Использование Ligolo для создания туннелей SOCK5 или TCP из реверсивного соединения.
Protocol Tunneling (Тунеллирование протокола)
T1572Использование Plink для автоматизации действий SSHв Windows
Remote Access Software (ПО для удаленного доступа)
T1219Использование AnyDesk, AteraRMM. ScreenConnectили TeamViewer для соединения с C2 сервером.
Exfiltration (Эксфильтрация данных)
Exfiltration Over Web Service (Эксфильтрация через веб службы)
T1567Использование общедоступными службами обмена файлами для кражи данных жертвы
Exfiltration Over Web Service: Exfiltration to Cloud Storage (Эксфильтрация через веб службы\ в облачное хранилище)
Использование Rclone менеджер облачного хранилища командной строки с открытым исходным кодом или FreeFileSync для кражи данных. А также MEGA, общедоступную службу обмена файлами для дальнейшей кражи данных.
Impact (Деструктивное действие)
Data Destruction (Уничтожение данных)
T1485Уничтожение логов и опустошение корзины.
Data Encrypted for Impact (Шифрование данных)
T1486Шифрование данных в целевых системах, чтобы прервать доступность системных и сетевых ресурсов. Windows, Linux, MacOS(c недавних пор) и VMware подвержены этому.
Defacement: Internal Defacement (Дефейс внтуренних систем)
T1491.001Изменение обоев на рабочем столе и добавление иконок LockBit 3.0
Inhibit System Recovery (воспрепятствование восстановлению системы)
T1490Удаление теневых копий с жестких дисков.
Service Stop (Остановка служб)
T1489Остановка служб и процессов ОС