疑似使用定向攻击模式的Akira勒索软件分析

Akira勒索软件概览

近期,安天CERT(CCTGA勒索软件防范应对工作组成员)发现多起Akira勒索软件攻击事件。Akira勒索软件于2023年3月被发现,其攻击载荷暂未发现大规模传播,国外安全厂商发现攻击者通过VPN对受害系统进行初始访问[1],故猜测其背后的攻击组织使用定向攻击模式开展勒索攻击活动。攻击者入侵至受害系统后通过远程桌面协议(RDP)工具或其他工具实现内网传播,勒索软件载荷采用AES+RSA算法对文件进行加密,暂未发现公开的解密工具。

Akira勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营,自4月21日起,其背后的攻击组织在Tor网站陆续发布受害者信息和窃取到的数据,截至5月30日共发布25名受害者信息和从11名受害者系统中窃取到的数据,包括建筑、金融、教育和房地产等多个行业。

表1‑1 Akira勒索软件概览

 

样本功能与技术梳理

2.1攻击流程

  1. 通过多种手段入侵受害者系统后,使用工具获取网内其他主机信息; 
  1. 将窃密工具和勒索软件载荷投放至受害系统中; 
  1. 将窃取到的数据通过特定C2信道或工具回传至攻击者; 
  1. 攻击者将受害者信息展示于该组织所使用的Tor网站上;

图2‑1 受害者信息

  1. 窃密环节完成后,执行勒索软件载荷,投放勒索信并加密数据文件; 
  1. 受害者通过勒索信中预留的Tor地址信息与攻击者进行谈判; 
  1. 受害者如未满足攻击者需求,攻击者则会公开从受害者系统中窃取到的数据。

图2‑2 公开窃取到的数据

2.2加密流程

  1. Akira勒索软件样本执行后调用命令行工具执行命令删除磁盘卷影备份、禁用系统恢复和绕过Windows Defender安全功能以确保后续流程顺利执行; 
  1. 获取系统当前逻辑驱动器列表,在多个路径下放置名为“akira_readme.txt”的勒索信;

图2‑3 勒索信

  1. 遍历目录和文件来搜索要加密的文件,排除加密特定扩展名、文件名和文件夹;

表2‑1 被排除加密扩展名、文件名及文件夹

 

  1. 导入RSA公钥并组合使用AES算法对文件进行加密,被加密文件后缀名修改为.akira;

图2‑4 被加密文件后缀

应急处置建议

当机器感染勒索软件后,不要惊慌,可立即开展以下应急工作,降低勒索软件产生的危害:隔离网络、分类处置、及时报告、排查加固、专业服务

  1. 首先要将感染勒索软件的机器断网,防止勒索软件进行横向传播继续感染局域网中的其他机器。 
  1. 不要重启机器,个别勒索软件的编写存在逻辑问题,在不重启的情况下有找回部分被加密文件的可能。 
  1. 不要急于重做系统、格式化硬盘等破坏加密文档行为。先备份加密后的文档,被加密后带后缀的文件不具有传染性,可复制到任意计算机上做备份保存,但是恢复的可能性极小。可以根据情况考虑是否等待解密方案,有小部分勒索软件的解密工具会由于各种原因被放出。 
  1. 虽然可以从后缀名、勒索信等信息判断出勒索软件家族类型。但由于暂时缺失勒索软件在用户网络内如何加密、传播的具体过程,仍无法准确判断其类型。虽然可以从威胁情报库中获取功能相似的病毒样本,通过模拟感染过程来确认,但在感染过程、感染源头的定位还需要细化,建议通过现场安全服务的形式进行定位、溯源。
  1. 防护建议

针对该勒索软件,建议个人及企业采取如下防护措施:

4.1个人防护

  1. 安装终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启); 
  1. 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令; 
  1. 定期更改口令:定期更改系统口令,避免出现口令泄露导致系统遭到入侵; 
  1. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁; 
  1. 关闭高危端口:对外服务采取最小化原则,关闭135、139、445和3389等不用的高危端口; 
  1. 关闭PowerShell:如不使用PowerShell命令行工具,建议将其关闭; 
  1. 定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离。

4.2 企业防护

  1. 安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统; 
  1. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁; 
  1. 开启日志:开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础; 
  2. 设置IP白名单规则:配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解; 
  3. 主机加固:对系统进行渗透测试及安全加固;

事件对应的ATT&CK映射图谱

事件对应的技术特点分布图:

图5‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表5‑1 ATT&CK技术行为描述表

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

  • 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
  • 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

  • 32
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
### 回答1: 射频技术基础讲义是一本详细介绍射频技术基础知识的书籍。书中讲授了射频电路、传输线、天线、射频检测等方面的知识。这本书通过简单易懂的语言,循序渐进地讲解了射频技术的基本原理和设计方法。同时,书中还介绍了很多实际应用中遇到的问题和解决方案,对于初学者和从事射频设计的工程师都是一本不可多得的好书。 书中重点讲解了传输线的特性和应用。不同的传输线适用于不同的电路。通过对传输线的了解,可以有效提高射频电路的阻抗匹配和信号传输性能。此外,书中还讲解了射频电路中常用器件的电性能参数,以及如何选取适合的器件进行设计。 天线是射频技术不可缺少的一部分,书中介绍了天线的基本原理、类型、特性参数和设计方法。理解天线的特性以及对不同天线类型的理解将有助于设计高效的天线。 总之,射频技术基础讲义对于理解射频技术的基本原理和实际应用具有重要的意义。这本书对于想要深入了解射频技术的人士来说是一本非常实用的入门书。 ### 回答2: 《射频技术基础讲义》是一本介绍射频技术基础知识的教材,作者是日本著名学者松泽明。本书主要介绍了射频技术的相关原理、分析与应用等方面知识,内容涵盖了频率、信号、传输线、滤波器、放大器、混频器、频率合成器、检波器、天线等射频电路的基础知识。 本书在内容上注重基础理论的讲解,使用简单明了的语言、图表和实例进行阐述,使读者可以更好地理解和掌握射频技术的相关知识。同时,本书也着重介绍了射频电路的设计和性能分析方法,为实际应用提供了指导和帮助。 此外,本书还包括了大量实际应用案例,如射频放大器的设计、射频前端的设计、脉冲调制信号的产生等,并提供了许多实验操作指南和数据实例,可以帮助读者深入学习和研究射频技术。 总的来说,这本讲义既适合射频领域初学者学习,也适合已有一定经验的工程师作为参考资料。它具有很高的实用性和参考价值,是一本非常值得推荐的射频技术教材和指南。 ### 回答3: 射频技术基础讲义作者松沢昭(Akira Matsuzawa)是一位著名的射频技术教育家和工程师,他的讲义尤其适合需要学习和科研射频技术的学生和工程师。这本讲义详细介绍了射频技术的基本原理和应用,旨在帮助读者深入理解射频系统的设计和应用。 本讲义包括射频信号传输的基础知识,如常用的频率、功率和频段等概念,以及传输线、阻抗匹配和滤波器等基本电路的设计方法。此外,讲义还介绍了射频天线、混频器、放大器、检波器和调制解调器等重要器件的工作原理和性能参数,并解释了射频信号的特点和应用范围。 整本讲义系统性地介绍了射频技术的基本知识和应用,从而帮助读者深入理解射频电路的设计和射频通信系统的原理。尤其是在现代通信和网络技术中,射频技术得到了广泛的应用和发展,所以这种基础性的讲义对相关行业人员来说是非常有价值的。 总而言之,松沢昭的《射频技术基础讲义》以其可读性和深度,为读者提供了一个基础的入门,为在射频技术领域深入探索的读者提供了一个有用的参考书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值