疑似使用定向攻击模式的Akira勒索软件分析
antiylab
- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
疑似使用定向攻击模式的Akira勒索软件分析
Akira勒索软件概览
近期,安天CERT(CCTGA勒索软件防范应对工作组成员)发现多起Akira勒索软件攻击事件。Akira勒索软件于2023年3月被发现,其攻击载荷暂未发现大规模传播,国外安全厂商发现攻击者通过VPN对受害系统进行初始访问[1],故猜测其背后的攻击组织使用定向攻击模式开展勒索攻击活动。攻击者入侵至受害系统后通过远程桌面协议(RDP)工具或其他工具实现内网传播,勒索软件载荷采用AES+RSA算法对文件进行加密,暂未发现公开的解密工具。
Akira勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营,自4月21日起,其背后的攻击组织在Tor网站陆续发布受害者信息和窃取到的数据,截至5月30日共发布25名受害者信息和从11名受害者系统中窃取到的数据,包括建筑、金融、教育和房地产等多个行业。
表1‑1 Akira勒索软件概览
样本功能与技术梳理
2.1攻击流程
- 通过多种手段入侵受害者系统后,使用工具获取网内其他主机信息;
- 将窃密工具和勒索软件载荷投放至受害系统中;
- 将窃取到的数据通过特定C2信道或工具回传至攻击者;
- 攻击者将受害者信息展示于该组织所使用的Tor网站上;
图2‑1 受害者信息
- 窃密环节完成后,执行勒索软件载荷,投放勒索信并加密数据文件;
- 受害者通过勒索信中预留的Tor地址信息与攻击者进行谈判;
- 受害者如未满足攻击者需求,攻击者则会公开从受害者系统中窃取到的数据。
图2‑2 公开窃取到的数据
2.2加密流程
- Akira勒索软件样本执行后调用命令行工具执行命令删除磁盘卷影备份、禁用系统恢复和绕过Windows Defender安全功能以确保后续流程顺利执行;
- 获取系统当前逻辑驱动器列表,在多个路径下放置名为“akira_readme.txt”的勒索信;
图2‑3 勒索信
- 遍历目录和文件来搜索要加密的文件,排除加密特定扩展名、文件名和文件夹;
表2‑1 被排除加密扩展名、文件名及文件夹
- 导入RSA公钥并组合使用AES算法对文件进行加密,被加密文件后缀名修改为.akira;
图2‑4 被加密文件后缀
应急处置建议
当机器感染勒索软件后,不要惊慌,可立即开展以下应急工作,降低勒索软件产生的危害:隔离网络、分类处置、及时报告、排查加固、专业服务。
- 首先要将感染勒索软件的机器断网,防止勒索软件进行横向传播继续感染局域网中的其他机器。
- 不要重启机器,个别勒索软件的编写存在逻辑问题,在不重启的情况下有找回部分被加密文件的可能。
- 不要急于重做系统、格式化硬盘等破坏加密文档行为。先备份加密后的文档,被加密后带后缀的文件不具有传染性,可复制到任意计算机上做备份保存,但是恢复的可能性极小。可以根据情况考虑是否等待解密方案,有小部分勒索软件的解密工具会由于各种原因被放出。
- 虽然可以从后缀名、勒索信等信息判断出勒索软件家族类型。但由于暂时缺失勒索软件在用户网络内如何加密、传播的具体过程,仍无法准确判断其类型。虽然可以从威胁情报库中获取功能相似的病毒样本,通过模拟感染过程来确认,但在感染过程、感染源头的定位还需要细化,建议通过现场安全服务的形式进行定位、溯源。
- 防护建议
针对该勒索软件,建议个人及企业采取如下防护措施:
4.1个人防护
- 安装终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启);
- 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
- 定期更改口令:定期更改系统口令,避免出现口令泄露导致系统遭到入侵;
- 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;
- 关闭高危端口:对外服务采取最小化原则,关闭135、139、445和3389等不用的高危端口;
- 关闭PowerShell:如不使用PowerShell命令行工具,建议将其关闭;
- 定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离。
4.2 企业防护
- 安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统;
- 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;
- 开启日志:开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;
- 设置IP白名单规则:配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解;
- 主机加固:对系统进行渗透测试及安全加固;
事件对应的ATT&CK映射图谱
事件对应的技术特点分布图:
图5‑1 技术特点对应ATT&CK的映射
具体ATT&CK技术行为描述表:
表5‑1 ATT&CK技术行为描述表
IoCs
参考链接:
[1]Akira Ransomware is “bringin’ 1988 back”
https://news.sophos.com/en-us/2023/05/09/akira-ransomware-is-bringin-88-back/
本文为 antiylab 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
台湾“绿斑”攻击组织使用开源远控木马的一组钓鱼攻击分析
2025-03-17
潜伏8大高危指令!仿冒DeepSeek竟能远程开启VNC监控,你的手机可能成为肉鸡
2025-02-27
2024年活跃勒索攻击组织盘点
2025-02-27
文章目录