疑似使用定向攻击模式的Akira勒索软件分析

最新推荐文章于 2024-07-23 11:47:42 发布
最新推荐文章于 2024-07-23 11:47:42 发布
阅读量1.1k 收藏 16
点赞数 32
文章标签: php 安全 网络协议 https 开发语言 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85023531/article/details/139802372
版权

Akira勒索软件概览

近期,安天CERT(CCTGA勒索软件防范应对工作组成员)发现多起Akira勒索软件攻击事件。Akira勒索软件于2023年3月被发现,其攻击载荷暂未发现大规模传播,国外安全厂商发现攻击者通过VPN对受害系统进行初始访问[1],故猜测其背后的攻击组织使用定向攻击模式开展勒索攻击活动。攻击者入侵至受害系统后通过远程桌面协议(RDP)工具或其他工具实现内网传播,勒索软件载荷采用AES+RSA算法对文件进行加密,暂未发现公开的解密工具。

Akira勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营,自4月21日起,其背后的攻击组织在Tor网站陆续发布受害者信息和窃取到的数据,截至5月30日共发布25名受害者信息和从11名受害者系统中窃取到的数据,包括建筑、金融、教育和房地产等多个行业。

表1‑1 Akira勒索软件概览

 

样本功能与技术梳理

2.1攻击流程

  1. 通过多种手段入侵受害者系统后,使用工具获取网内其他主机信息; 
  1. 将窃密工具和勒索软件载荷投放至受害系统中; 
  1. 将窃取到的数据通过特定C2信道或工具回传至攻击者; 
  1. 攻击者将受害者信息展示于该组织所使用的Tor网站上;

图2‑1 受害者信息

  1. 窃密环节完成后,执行勒索软件载荷,投放勒索信并加密数据文件; 
  1. 受害者通过勒索信中预留的Tor地址信息与攻击者进行谈判; 
  1. 受害者如未满足攻击者需求,攻击者则会公开从受害者系统中窃取到的数据。

图2‑2 公开窃取到的数据

2.2加密流程

  1. Akira勒索软件样本执行后调用命令行工具执行命令删除磁盘卷影备份、禁用系统恢复和绕过Windows Defender安全功能以确保后续流程顺利执行; 
  1. 获取系统当前逻辑驱动器列表,在多个路径下放置名为“akira_readme.txt”的勒索信;

图2‑3 勒索信

  1. 遍历目录和文件来搜索要加密的文件,排除加密特定扩展名、文件名和文件夹;

表2‑1 被排除加密扩展名、文件名及文件夹

 

  1. 导入RSA公钥并组合使用AES算法对文件进行加密,被加密文件后缀名修改为.akira;

图2‑4 被加密文件后缀

应急处置建议

当机器感染勒索软件后,不要惊慌,可立即开展以下应急工作,降低勒索软件产生的危害:隔离网络、分类处置、及时报告、排查加固、专业服务

  1. 首先要将感染勒索软件的机器断网,防止勒索软件进行横向传播继续感染局域网中的其他机器。 
  1. 不要重启机器,个别勒索软件的编写存在逻辑问题,在不重启的情况下有找回部分被加密文件的可能。 
  1. 不要急于重做系统、格式化硬盘等破坏加密文档行为。先备份加密后的文档,被加密后带后缀的文件不具有传染性,可复制到任意计算机上做备份保存,但是恢复的可能性极小。可以根据情况考虑是否等待解密方案,有小部分勒索软件的解密工具会由于各种原因被放出。 
  1. 虽然可以从后缀名、勒索信等信息判断出勒索软件家族类型。但由于暂时缺失勒索软件在用户网络内如何加密、传播的具体过程,仍无法准确判断其类型。虽然可以从威胁情报库中获取功能相似的病毒样本,通过模拟感染过程来确认,但在感染过程、感染源头的定位还需要细化,建议通过现场安全服务的形式进行定位、溯源。
  1. 防护建议

针对该勒索软件,建议个人及企业采取如下防护措施:

4.1个人防护

  1. 安装终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启); 
  1. 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令; 
  1. 定期更改口令:定期更改系统口令,避免出现口令泄露导致系统遭到入侵; 
  1. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁; 
  1. 关闭高危端口:对外服务采取最小化原则,关闭135、139、445和3389等不用的高危端口; 
  1. 关闭PowerShell:如不使用PowerShell命令行工具,建议将其关闭; 
  1. 定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离。

4.2 企业防护

  1. 安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统; 
  1. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁; 
  1. 开启日志:开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础; 
  2. 设置IP白名单规则:配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解; 
  3. 主机加固:对系统进行渗透测试及安全加固;

事件对应的ATT&CK映射图谱

事件对应的技术特点分布图:

图5‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表5‑1 ATT&CK技术行为描述表

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

  • 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
  • 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

徐老师教网络安全
关注
  • 32
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
勒索软件分析_勒索软件样本收集
kitsch0x97的博客
05-13 775
LIVE、DragonForce、Tisak、MEOW LEAKS、Lambda、、Electronic、、、CiphBit、、INC Ransom、RansomedVC、Cloak、Peace Tax Agency、Metaencryptor、RA GROUP、、、Akira、Rhysida、、、Zhong、AlphaWare、EXISC、、、RTM Locker、、Money Message、Merlin、726、、Masons、DoDo、Vendetta、Medusa持续更新····
2023勒索软件下半年报告
06-07
2023 年下半年,勒索软件攻击活动愈发猖獗,导致 2023 年全年勒索软件攻击事件整体数量较上一年再次大幅增长,勒索金额屡创新高,勒索软件依然稳坐网络威胁的头把交椅。纵观下半年,Lockbit3 组织发动了近 600 起...
Akira勒索软件团伙及其策略的全面解析
FreeBuf_的博客
01-14 1163
从2023年10月开始,Sophos观察到Akira行为者只执行勒索操作的新趋势,即在没有部署勒索软件或加密系统的情况下从受害者环境中窃取数据;在Sophos回应的所有Akira事件中,Sophos只观察到2023年8月底发生的一起利用Megazord勒索软件变体的案例;在一次事件中,Sophos观察到Akira攻击者利用以前未报告的后门(exe)来建立命令和控制(C2),这标志着Akira攻击者通常倾向于使用双重用途代理来实现C2功能;
勒索软件的原理
m0_62063669的博客
08-04 1928
算法,将受害者本地生成的RSA私钥进行了加密。通过这两步,只有作者使用自己私钥解密受害者RSA私钥后,受害者才能还原到本地AES密钥,从而使用AES算法解密文件。2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓。会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买。勒索软件攻破企业网络之后,如果顺利获取重要数据,就会进入下一环节,但如果没有。3. 计算机屏幕弹出的提示消息,称用户文件被加密,要求支付赎金。用户文档,只有在用户支付赎金后,才提供解密文档的方法。...
勒索软件攻击与防御
可爱的小狼的博客
01-08 6100
勒索软件攻击与防御 近几年来,勒索软件相关的安全事件在全球频繁爆发,引起了大众的重视。2017年一种名为“WannaCry”勒索病毒席卷全球近百个国家和地区。只经过了一个周日,WannaCry 就传播到了 150 多个国家的近 20 万台电脑。2018年11月,又一起勒索事件出现——旧金山MUNI城市捷运系统受到勒索加密勒索软件攻击攻击者发出公告索要100比特币,约合七万多美元。   勒索软...
关于防范ONION勒索软件病毒攻击的解决办法
AIGC Studio:分享AIGC前沿知识和好玩应用,公众号同名。
05-13 3967
一夜之间,身边的好多同学的电脑都中病毒了,特别是许多正在写毕业论文的同学可真是坑大了,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和
AKIRA-开源
04-22
AKIRA框架内,神经网络被用作学习和模式识别的工具。它们可以从数据中学习,从而改进决策过程,并能处理复杂输入和输出关系。神经网络在AKIRA中的应用,有助于智能体在没有明确编程的情况下自我学习和适应环境。 ...
BurpSuite使用的插件HaE-2.6.1.jar
05-01
在BurpSuite上使用的插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
palgrave connect 使用手册.pdf
12-17
Palgrave Connect 使用手册详细介绍了如何访问和利用 Palgrave Macmillan 出版社提供的在线学术资源。Palgrave Macmillan 是一家专注于人文、社会科学和商业领域出版的全球性学术出版社,提供教科书、期刊、论文和...
akira1208
03-03
概要高校生向け学习支持Webアプリ実装した机能プロフィール画像アップロード机能(S3)英単语クイズ习得したものを保存ランキング机能メモ机能使用した技术・言语・フレームワークPHP 7.2 Laravel 5.5 MySQL的CSSフ...
密码学原理精解【9】
应用数学
07-19 1381
设K是一个确定长度的随机二元密钥,用K来生成Nr个轮密钥(也叫子密钥)K1K2KNrK1K2...KNr,轮密钥的列表(K1K2KNrK1K2...KNr)就是密钥编排方案,该方案由K经过一个固定的、公开的算法生成。轮函数g由轮密钥K′和当前状态wr−1作为它的两个输入下一状态为wrgwr−1Kr轮函数g由轮密钥K'和当前状态w^{r-1}作为它的两个输入,\\下一状态为w^r=g(w^{r-1},K^r)
BUUCTF [WUSTCTF2020]朴实无华
weixin_73399382的博客
07-22 443
第一块就是intval函数的绕过,逻辑上是不存在小于2020又大于2021的数,但是php低版本好像是7点多和以下该函数对不同类型的数据处理有偏差,第二处则是md5函数绕过,
【PHP小课堂】PHP中的数组函数学习(一)
硬核项目经理
07-22 584
PHP中的数组函数学习(一)数组操作可是 PHP 中的重头戏,重头到什么地步呢?别的语言可以说是面向对象、面向过程,PHP 则可以完全说是面向数组的一种语言。它的各种数据结构到最后都可以用数组来表示,这就是很恐怖的一件事。因为不管什么操作,我们都可以以数组的形式操作,这样的话,这些数组操作相关的函数就会显得异常的强大。当然,这也和语言的发展特性分不开。从最开始,PHP 就只是一个准备服务于个人的小...
PHP项目开发流程概述
api77的博客
07-19 564
需求分析是项目开发的起始点,主要目的是明确项目的目标、功能需求、用户群体等。这一阶段通常通过用户访谈、市场调研、竞品分析等方式进行。
MICA:面向复杂嵌入式系统的混合关键性部署框架
最新发布
openEuler_的博客
07-23 722
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始化、启动、暂停、结束等。MICA 的守护进程。
rce漏洞-ctfshow(50-70)
m0_74402888的博客
07-23 703
文件名:
akira matsuzawa 射频技术基础讲义
06-26
### 回答1: 射频技术基础讲义是一本详细介绍射频技术基础知识的书籍。书中讲授了射频电路、传输线、天线、射频检测等方面的知识。这本书通过简单易懂的语言,循序渐进地讲解了射频技术的基本原理和设计方法。同时,书中还介绍了很多实际应用中遇到的问题和解决方案,对于初学者和从事射频设计的工程师都是一本不可多得的好书。 书中重点讲解了传输线的特性和应用。不同的传输线适用于不同的电路。通过对传输线的了解,可以有效提高射频电路的阻抗匹配和信号传输性能。此外,书中还讲解了射频电路中常用器件的电性能参数,以及如何选取适合的器件进行设计。 天线是射频技术不可缺少的一部分,书中介绍了天线的基本原理、类型、特性参数和设计方法。理解天线的特性以及对不同天线类型的理解将有助于设计高效的天线。 总之,射频技术基础讲义对于理解射频技术的基本原理和实际应用具有重要的意义。这本书对于想要深入了解射频技术的人士来说是一本非常实用的入门书。 ### 回答2: 《射频技术基础讲义》是一本介绍射频技术基础知识的教材,作者是日本著名学者松泽明。本书主要介绍了射频技术的相关原理、分析与应用等方面知识,内容涵盖了频率、信号、传输线、滤波器、放大器、混频器、频率合成器、检波器、天线等射频电路的基础知识。 本书在内容上注重基础理论的讲解,使用简单明了的语言、图表和实例进行阐述,使读者可以更好地理解和掌握射频技术的相关知识。同时,本书也着重介绍了射频电路的设计和性能分析方法,为实际应用提供了指导和帮助。 此外,本书还包括了大量实际应用案例,如射频放大器的设计、射频前端的设计、脉冲调制信号的产生等,并提供了许多实验操作指南和数据实例,可以帮助读者深入学习和研究射频技术。 总的来说,这本讲义既适合射频领域初学者学习,也适合已有一定经验的工程师作为参考资料。它具有很高的实用性和参考价值,是一本非常值得推荐的射频技术教材和指南。 ### 回答3: 射频技术基础讲义作者松沢昭(Akira Matsuzawa)是一位著名的射频技术教育家和工程师,他的讲义尤其适合需要学习和科研射频技术的学生和工程师。这本讲义详细介绍了射频技术的基本原理和应用,旨在帮助读者深入理解射频系统的设计和应用。 本讲义包括射频信号传输的基础知识,如常用的频率、功率和频段等概念,以及传输线、阻抗匹配和滤波器等基本电路的设计方法。此外,讲义还介绍了射频天线、混频器、放大器、检波器和调制解调器等重要器件的工作原理和性能参数,并解释了射频信号的特点和应用范围。 整本讲义系统性地介绍了射频技术的基本知识和应用,从而帮助读者深入理解射频电路的设计和射频通信系统的原理。尤其是在现代通信和网络技术中,射频技术得到了广泛的应用和发展,所以这种基础性的讲义对相关行业人员来说是非常有价值的。 总而言之,松沢昭的《射频技术基础讲义》以其可读性和深度,为读者提供了一个基础的入门,为在射频技术领域深入探索的读者提供了一个有用的参考书。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值