疑似使用定向攻击模式的Akira勒索软件分析

最新推荐文章于 2024-07-19 15:37:32 发布
最新推荐文章于 2024-07-19 15:37:32 发布
阅读量1.1k 收藏 16
点赞数 32
文章标签: php 安全 网络协议 https 开发语言 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85023531/article/details/139802372
版权

Akira勒索软件概览

近期,安天CERT(CCTGA勒索软件防范应对工作组成员)发现多起Akira勒索软件攻击事件。Akira勒索软件于2023年3月被发现,其攻击载荷暂未发现大规模传播,国外安全厂商发现攻击者通过VPN对受害系统进行初始访问[1],故猜测其背后的攻击组织使用定向攻击模式开展勒索攻击活动。攻击者入侵至受害系统后通过远程桌面协议(RDP)工具或其他工具实现内网传播,勒索软件载荷采用AES+RSA算法对文件进行加密,暂未发现公开的解密工具。

Akira勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营,自4月21日起,其背后的攻击组织在Tor网站陆续发布受害者信息和窃取到的数据,截至5月30日共发布25名受害者信息和从11名受害者系统中窃取到的数据,包括建筑、金融、教育和房地产等多个行业。

表1‑1 Akira勒索软件概览

 

样本功能与技术梳理

2.1攻击流程

  1. 通过多种手段入侵受害者系统后,使用工具获取网内其他主机信息; 
  1. 将窃密工具和勒索软件载荷投放至受害系统中; 
  1. 将窃取到的数据通过特定C2信道或工具回传至攻击者; 
  1. 攻击者将受害者信息展示于该组织所使用的Tor网站上;

图2‑1 受害者信息

  1. 窃密环节完成后,执行勒索软件载荷,投放勒索信并加密数据文件; 
  1. 受害者通过勒索信中预留的Tor地址信息与攻击者进行谈判; 
  1. 受害者如未满足攻击者需求,攻击者则会公开从受害者系统中窃取到的数据。

图2‑2 公开窃取到的数据

2.2加密流程

  1. Akira勒索软件样本执行后调用命令行工具执行命令删除磁盘卷影备份、禁用系统恢复和绕过Windows Defender安全功能以确保后续流程顺利执行; 
  1. 获取系统当前逻辑驱动器列表,在多个路径下放置名为“akira_readme.txt”的勒索信;

图2‑3 勒索信

  1. 遍历目录和文件来搜索要加密的文件,排除加密特定扩展名、文件名和文件夹;

表2‑1 被排除加密扩展名、文件名及文件夹

 

  1. 导入RSA公钥并组合使用AES算法对文件进行加密,被加密文件后缀名修改为.akira;

图2‑4 被加密文件后缀

应急处置建议

当机器感染勒索软件后,不要惊慌,可立即开展以下应急工作,降低勒索软件产生的危害:隔离网络、分类处置、及时报告、排查加固、专业服务

  1. 首先要将感染勒索软件的机器断网,防止勒索软件进行横向传播继续感染局域网中的其他机器。 
  1. 不要重启机器,个别勒索软件的编写存在逻辑问题,在不重启的情况下有找回部分被加密文件的可能。 
  1. 不要急于重做系统、格式化硬盘等破坏加密文档行为。先备份加密后的文档,被加密后带后缀的文件不具有传染性,可复制到任意计算机上做备份保存,但是恢复的可能性极小。可以根据情况考虑是否等待解密方案,有小部分勒索软件的解密工具会由于各种原因被放出。 
  1. 虽然可以从后缀名、勒索信等信息判断出勒索软件家族类型。但由于暂时缺失勒索软件在用户网络内如何加密、传播的具体过程,仍无法准确判断其类型。虽然可以从威胁情报库中获取功能相似的病毒样本,通过模拟感染过程来确认,但在感染过程、感染源头的定位还需要细化,建议通过现场安全服务的形式进行定位、溯源。
  1. 防护建议

针对该勒索软件,建议个人及企业采取如下防护措施:

4.1个人防护

  1. 安装终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启); 
  1. 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令; 
  1. 定期更改口令:定期更改系统口令,避免出现口令泄露导致系统遭到入侵; 
  1. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁; 
  1. 关闭高危端口:对外服务采取最小化原则,关闭135、139、445和3389等不用的高危端口; 
  1. 关闭PowerShell:如不使用PowerShell命令行工具,建议将其关闭; 
  1. 定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离。

4.2 企业防护

  1. 安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统; 
  1. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁; 
  1. 开启日志:开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础; 
  2. 设置IP白名单规则:配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解; 
  3. 主机加固:对系统进行渗透测试及安全加固;

事件对应的ATT&CK映射图谱

事件对应的技术特点分布图:

图5‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表5‑1 ATT&CK技术行为描述表

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

  • 2023届全国高校毕业生预计达到1158万人,就业形势严峻;
  • 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。 

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。 

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取 

徐老师教网络安全
关注
  • 32
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Akira勒索软件团伙及其策略的全面解析
FreeBuf_的博客
01-14 1160
从2023年10月开始,Sophos观察到Akira行为者只执行勒索操作的新趋势,即在没有部署勒索软件或加密系统的情况下从受害者环境中窃取数据;在Sophos回应的所有Akira事件中,Sophos只观察到2023年8月底发生的一起利用Megazord勒索软件变体的案例;在一次事件中,Sophos观察到Akira攻击者利用以前未报告的后门(exe)来建立命令和控制(C2),这标志着Akira攻击者通常倾向于使用双重用途代理来实现C2功能;
勒索软件分析_勒索软件样本收集
kitsch0x97的博客
05-13 773
LIVE、DragonForce、Tisak、MEOW LEAKS、Lambda、、Electronic、、、CiphBit、、INC Ransom、RansomedVC、Cloak、Peace Tax Agency、Metaencryptor、RA GROUP、、、Akira、Rhysida、、、Zhong、AlphaWare、EXISC、、、RTM Locker、、Money Message、Merlin、726、、Masons、DoDo、Vendetta、Medusa持续更新····
2023勒索软件下半年报告
2301_76786857的博客
06-07 346
2023 年下半年,勒索软件攻击活动愈发猖獗,导致 2023 年全年勒索软件攻击事件整体数量较上一年再次大幅增长,勒索金额屡创新高,勒索软件依然稳坐网络威胁的头把交椅。纵观下半年,Lockbit3 组织发动了近 600 起攻击事件,凭借强势表现在整个勒索软件市场中独占鳌头。同时,一些新兴的勒索软件如 8Base、Akira、Medusa 也在下半年迅猛崛起,迅速挤入了排名 top10。天际友盟追踪了下半年近百起勒索软件攻击事件。
使用CipherTrust透明加密勒索软件保护阻止勒索软件的传播
SafePloy_SH的博客
04-22 606
BasedOther勒索软件保护产品通过搜索可执行二进制文件来检测勒索软件,以寻找勒索软件进程的商标,例如看起来是赎金通知的文本,或指向加密库的链接。在每种情况下,CTE-RWP都能够通过观察清除-读取-加密-写入的IO模式来检测每个勒索软件的行为,使用前面提到的数学方差、字节值频率和部分可压缩性的测量来确定读/写的数据是加密的还是清除的。在我们的实验室中,我们在vx-underground研究网站上选择了最近10次可以找到相应勒索软件攻击,并使用勒索软件攻击自己,以观察CTE-RWP的行为。
AKIRA-开源
04-22
AKIRA框架内,神经网络被用作学习和模式识别的工具。它们可以从数据中学习,从而改进决策过程,并能处理复杂输入和输出关系。神经网络在AKIRA中的应用,有助于智能体在没有明确编程的情况下自我学习和适应环境。 ...
BurpSuite使用的插件HaE-2.6.1.jar
05-01
在BurpSuite上使用的插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
palgrave connect 使用手册.pdf
12-17
Palgrave Connect 使用手册详细介绍了如何访问和利用 Palgrave Macmillan 出版社提供的在线学术资源。Palgrave Macmillan 是一家专注于人文、社会科学和商业领域出版的全球性学术出版社,提供教科书、期刊、论文和...
akira1208
03-03
概要高校生向け学习支持Webアプリ実装した机能プロフィール画像アップロード机能(S3)英単语クイズ习得したものを保存ランキング机能メモ机能使用した技术・言语・フレームワークPHP 7.2 Laravel 5.5 MySQL的CSSフ...
华为HCIP Datacom H12-821 卷42
QIN_yuexiang的博客
07-17 308
转换的第一步将FFFE插入MAC地址的公司标识和扩展标识符之间,第二步将从高位数,第7位的0改为1,1改为0。这种由MAC地址产生IPv6地址接口标识的方法可以减少配置的工作量,尤其是当采用无状态地址自动配置时,只需要获取一个IPv6前缀就可以与接口标识形成IPv6地址。已知某接口的MAC地址为OA-04-3B-45-1A-03,那么根据IEEE EUI-64规范生成的接口ID标识为:___-___-___-___-___-___-1A-03。数据链路层——ARP欺骗 网络层—Smurf攻击
全新UI自助图文打印系统小程序源码/自助云打印机前后端源码
12年全栈程序开发
07-17 252
这些服务覆盖了多种文件格式,包括文档、图片、表格等。除此之外,系统还集成了额外的特色功能,如美颜、换装以及文档打印等,以满足用户的不同需求。管理员可进管理后台对打印机进行管理。最新的自助图文打印系统和证件照云打印小程序源码采用了PHP作为后端开发语言,旨在为用户提供全面的自助打印服务。
释放Laravel Blade的威力:掌握Laravel的模板引擎
2401_85812026的博客
07-16 1295
Blade是Laravel的内置模板引擎,它让你的前端代码更加简洁、易读。Blade视图文件通常以.blade.php为扩展名,支持直接在视图文件中使用PHP代码。
深入理解Linux网络(一):内核如何接收网络包
又见南风的博客
07-18 643
在上⾯的代码中跟踪函数调⽤, __igb_open => igb_request_irq => igb_request_msix , 在 igb_request_msix 中我们看到了,对于多队列的⽹卡,为每⼀个队列都注册了中断,其对应的中断处理函数是 igb_msix_ring(该函数也在 drivers/net/ethernet/intel/igb/igb_main.c 下)。如协议注册⼩节看到 inet_protos 中保存着 tcp_v4_rcv() 和 udp_rcv() 的函数地址。
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1036
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
php在服务器上部署可视化运维工具详细列表
vbgesab的博客
07-17 1156
1Panel 是由杭州飞致云信息科技有限公司开发的开源产品,于2023年3月推出。其后端使用 Golang 编写,前端使用 VUE 的 Element-Plus 作为 UI 框架。Ansible 由 Michael DeHaan 创建,最初是为小型项目设计的自动化工具,后来逐渐发展成为一个功能强大的企业级自动化平台。Ansible 以其简单性、灵活性和易用性而广受欢迎。
如何轻松将Squarespace网站迁移到WordPress
web_geek的博客
07-18 868
但是它也有一些缺点,Squarespace是一个封闭系统的CMS,对于初学者来说它是一个非常不错的一体化建站方案,但是随着网站的发展,用户的选择也会随之受限,例如,无法选择服务器提供商,也无法使用一些第三方的工具,相对于WordPress这种开源程序来说,局限性比较大,当您有了一定的网站运营基础或者想要更加自由的对网站添加自己的设计元素的时候,WordPress就会成为更好的选择。但是,正如开头所说,会有部分内容无法直接转移过来,例如,你可能会在之前有音频或产品模块的位置看到空白或错误信息。
如何在Java、Python、PHP使用短信通知API?
最新发布
Mtxxd的博客
07-19 638
短信通知API是一种用于发送及时通知信息的工具,通过稳定的短信通道,实现开发者向用户传递重要信息的目的。其特点包括即时性、可靠性、定制性等,适用于各行业的订单通知、账户提醒、活动通告等场景。使用时需注意合法性验证、隐私保护、短信内容定制等方面,以提供安全、合规、高效的通知服务,提升用户体验。
某4G区域终端有时驻留弱信号小区分析
dreamfly130的博客
07-19 710
而1650频点虽然下发band1 100的测量参数,但是又一直不理终端发给网络的band1 100的测量报告。12:12:38.307003 网络下发针对1650的A4测量配置(-106db即可满足),终端从band1 100(-93db),上报band3 1650的A4测量报告,切到弱信号band3 1650(-104db)。12:12:38.307003 网络下发针对1650的A4测量配置,终端从band1 100,上报band3 1650的A4测量报告,切到band3 1650。用于基于负荷的切换。
akira matsuzawa 射频技术基础讲义
06-26
### 回答1: 射频技术基础讲义是一本详细介绍射频技术基础知识的书籍。书中讲授了射频电路、传输线、天线、射频检测等方面的知识。这本书通过简单易懂的语言,循序渐进地讲解了射频技术的基本原理和设计方法。同时,书中还介绍了很多实际应用中遇到的问题和解决方案,对于初学者和从事射频设计的工程师都是一本不可多得的好书。 书中重点讲解了传输线的特性和应用。不同的传输线适用于不同的电路。通过对传输线的了解,可以有效提高射频电路的阻抗匹配和信号传输性能。此外,书中还讲解了射频电路中常用器件的电性能参数,以及如何选取适合的器件进行设计。 天线是射频技术不可缺少的一部分,书中介绍了天线的基本原理、类型、特性参数和设计方法。理解天线的特性以及对不同天线类型的理解将有助于设计高效的天线。 总之,射频技术基础讲义对于理解射频技术的基本原理和实际应用具有重要的意义。这本书对于想要深入了解射频技术的人士来说是一本非常实用的入门书。 ### 回答2: 《射频技术基础讲义》是一本介绍射频技术基础知识的教材,作者是日本著名学者松泽明。本书主要介绍了射频技术的相关原理、分析与应用等方面知识,内容涵盖了频率、信号、传输线、滤波器、放大器、混频器、频率合成器、检波器、天线等射频电路的基础知识。 本书在内容上注重基础理论的讲解,使用简单明了的语言、图表和实例进行阐述,使读者可以更好地理解和掌握射频技术的相关知识。同时,本书也着重介绍了射频电路的设计和性能分析方法,为实际应用提供了指导和帮助。 此外,本书还包括了大量实际应用案例,如射频放大器的设计、射频前端的设计、脉冲调制信号的产生等,并提供了许多实验操作指南和数据实例,可以帮助读者深入学习和研究射频技术。 总的来说,这本讲义既适合射频领域初学者学习,也适合已有一定经验的工程师作为参考资料。它具有很高的实用性和参考价值,是一本非常值得推荐的射频技术教材和指南。 ### 回答3: 射频技术基础讲义作者松沢昭(Akira Matsuzawa)是一位著名的射频技术教育家和工程师,他的讲义尤其适合需要学习和科研射频技术的学生和工程师。这本讲义详细介绍了射频技术的基本原理和应用,旨在帮助读者深入理解射频系统的设计和应用。 本讲义包括射频信号传输的基础知识,如常用的频率、功率和频段等概念,以及传输线、阻抗匹配和滤波器等基本电路的设计方法。此外,讲义还介绍了射频天线、混频器、放大器、检波器和调制解调器等重要器件的工作原理和性能参数,并解释了射频信号的特点和应用范围。 整本讲义系统性地介绍了射频技术的基本知识和应用,从而帮助读者深入理解射频电路的设计和射频通信系统的原理。尤其是在现代通信和网络技术中,射频技术得到了广泛的应用和发展,所以这种基础性的讲义对相关行业人员来说是非常有价值的。 总而言之,松沢昭的《射频技术基础讲义》以其可读性和深度,为读者提供了一个基础的入门,为在射频技术领域深入探索的读者提供了一个有用的参考书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值