freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

疑似使用定向攻击模式的Akira勒索软件分析
antiylab 2023-05-31 16:34:45 194229
所属地 北京

Akira勒索软件概览

近期,安天CERT(CCTGA勒索软件防范应对工作组成员)发现多起Akira勒索软件攻击事件。Akira勒索软件于2023年3月被发现,其攻击载荷暂未发现大规模传播,国外安全厂商发现攻击者通过VPN对受害系统进行初始访问[1],故猜测其背后的攻击组织使用定向攻击模式开展勒索攻击活动。攻击者入侵至受害系统后通过远程桌面协议(RDP)工具或其他工具实现内网传播,勒索软件载荷采用AES+RSA算法对文件进行加密,暂未发现公开的解密工具。

Akira勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营,自4月21日起,其背后的攻击组织在Tor网站陆续发布受害者信息和窃取到的数据,截至5月30日共发布25名受害者信息和从11名受害者系统中窃取到的数据,包括建筑、金融、教育和房地产等多个行业。

表1‑1 Akira勒索软件概览

1685521623_647704d7686b8d91a93d2.png!small?1685521624060

样本功能与技术梳理

2.1攻击流程

  1. 通过多种手段入侵受害者系统后,使用工具获取网内其他主机信息; 
  1. 将窃密工具和勒索软件载荷投放至受害系统中; 
  1. 将窃取到的数据通过特定C2信道或工具回传至攻击者; 
  1. 攻击者将受害者信息展示于该组织所使用的Tor网站上;

1685521664_64770500c7170f4c2f063.png!small?1685521665495

图2‑1 受害者信息

  1. 窃密环节完成后,执行勒索软件载荷,投放勒索信并加密数据文件; 
  1. 受害者通过勒索信中预留的Tor地址信息与攻击者进行谈判; 
  1. 受害者如未满足攻击者需求,攻击者则会公开从受害者系统中窃取到的数据。

1685521686_647705165dcd9c42c6097.png!small?1685521686891

图2‑2 公开窃取到的数据

2.2加密流程

  1. Akira勒索软件样本执行后调用命令行工具执行命令删除磁盘卷影备份、禁用系统恢复和绕过Windows Defender安全功能以确保后续流程顺利执行; 
  1. 获取系统当前逻辑驱动器列表,在多个路径下放置名为“akira_readme.txt”的勒索信;

1685521703_64770527d59cad30ac739.png!small?1685521704529

图2‑3 勒索信

  1. 遍历目录和文件来搜索要加密的文件,排除加密特定扩展名、文件名和文件夹;

表2‑1 被排除加密扩展名、文件名及文件夹

1685521727_6477053f7189828f31cc0.png!small?1685521728180

  1. 导入RSA公钥并组合使用AES算法对文件进行加密,被加密文件后缀名修改为.akira;

1685521772_6477056c5834d1e5adb7d.png!small?1685521773041

图2‑4 被加密文件后缀

应急处置建议

当机器感染勒索软件后,不要惊慌,可立即开展以下应急工作,降低勒索软件产生的危害:隔离网络、分类处置、及时报告、排查加固、专业服务

  1. 首先要将感染勒索软件的机器断网,防止勒索软件进行横向传播继续感染局域网中的其他机器。 
  1. 不要重启机器,个别勒索软件的编写存在逻辑问题,在不重启的情况下有找回部分被加密文件的可能。 
  1. 不要急于重做系统、格式化硬盘等破坏加密文档行为。先备份加密后的文档,被加密后带后缀的文件不具有传染性,可复制到任意计算机上做备份保存,但是恢复的可能性极小。可以根据情况考虑是否等待解密方案,有小部分勒索软件的解密工具会由于各种原因被放出。 
  1. 虽然可以从后缀名、勒索信等信息判断出勒索软件家族类型。但由于暂时缺失勒索软件在用户网络内如何加密、传播的具体过程,仍无法准确判断其类型。虽然可以从威胁情报库中获取功能相似的病毒样本,通过模拟感染过程来确认,但在感染过程、感染源头的定位还需要细化,建议通过现场安全服务的形式进行定位、溯源。
  1. 防护建议

针对该勒索软件,建议个人及企业采取如下防护措施:

4.1个人防护

  1. 安装终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启); 
  1. 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令; 
  1. 定期更改口令:定期更改系统口令,避免出现口令泄露导致系统遭到入侵; 
  1. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁; 
  1. 关闭高危端口:对外服务采取最小化原则,关闭135、139、445和3389等不用的高危端口; 
  1. 关闭PowerShell:如不使用PowerShell命令行工具,建议将其关闭; 
  1. 定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离。

4.2 企业防护

  1. 安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统; 
  1. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁; 
  1. 开启日志:开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础; 
  2. 设置IP白名单规则:配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解; 
  3. 主机加固:对系统进行渗透测试及安全加固;

事件对应的ATT&CK映射图谱

事件对应的技术特点分布图:

1685521821_6477059d9f9f2b61377a8.png!small?1685521822610

图5‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表5‑1 ATT&CK技术行为描述表

1685521841_647705b16dd89701085b6.png!small?1685521842437

IoCs

1685521856_647705c0a42bb94bce2a5.png!small?1685521857121

参考链接:

[1]Akira Ransomware is “bringin’ 1988 back”

https://news.sophos.com/en-us/2023/05/09/akira-ransomware-is-bringin-88-back/

# 网络安全 # 勒索病毒
本文为 antiylab 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
antiylab LV.10
安天网络安全官方账号
  • 686 文章数
  • 106 关注者
台湾“绿斑”攻击组织使用开源远控木马的一组钓鱼攻击分析
2025-03-17
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
2025-02-27
2024年活跃勒索攻击组织盘点
2025-02-27
文章目录