疑似使用定向攻击模式的Akira勒索软件分析

最新推荐文章于 2025-05-02 18:50:24 发布

徐老师教网络安全

最新推荐文章于 2025-05-02 18:50:24 发布

阅读量1.4k

点赞数 32

文章标签： php 安全网络协议 https 开发语言网络安全 web安全

本文链接：https://blog.csdn.net/2401_85023531/article/details/139802372

版权

Akira勒索软件概览

近期，安天CERT（CCTGA勒索软件防范应对工作组成员）发现多起Akira勒索软件攻击事件。Akira勒索软件于2023年3月被发现，其攻击载荷暂未发现大规模传播，国外安全厂商发现攻击者通过VPN对受害系统进行初始访问[1]，故猜测其背后的攻击组织使用定向攻击模式开展勒索攻击活动。攻击者入侵至受害系统后通过远程桌面协议（RDP）工具或其他工具实现内网传播，勒索软件载荷采用AES+RSA算法对文件进行加密，暂未发现公开的解密工具。

Akira勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营，自4月21日起，其背后的攻击组织在Tor网站陆续发布受害者信息和窃取到的数据，截至5月30日共发布25名受害者信息和从11名受害者系统中窃取到的数据，包括建筑、金融、教育和房地产等多个行业。

表1‑1 Akira勒索软件概览

样本功能与技术梳理

2.1攻击流程

通过多种手段入侵受害者系统后，使用工具获取网内其他主机信息；

将窃密工具和勒索软件载荷投放至受害系统中；

将窃取到的数据通过特定C2信道或工具回传至攻击者；

攻击者将受害者信息展示于该组织所使用的Tor网站上；

图2‑1 受害者信息

窃密环节完成后，执行勒索软件载荷，投放勒索信并加密数据文件；

受害者通过勒索信中预留的Tor地址信息与攻击者进行谈判；

受害者如未满足攻击者需求，攻击者则会公开从受害者系统中窃取到的数据。

图2‑2 公开窃取到的数据

2.2加密流程

Akira勒索软件样本执行后调用命令行工具执行命令删除磁盘卷影备份、禁用系统恢复和绕过Windows Defender安全功能以确保后续流程顺利执行；

获取系统当前逻辑驱动器列表，在多个路径下放置名为“akira_readme.txt”的勒索信；

图2‑3 勒索信

遍历目录和文件来搜索要加密的文件，排除加密特定扩展名、文件名和文件夹；

表2‑1 被排除加密扩展名、文件名及文件夹

导入RSA公钥并组合使用AES算法对文件进行加密，被加密文件后缀名修改为.akira；

图2‑4 被加密文件后缀

应急处置建议

当机器感染勒索软件后，不要惊慌，可立即开展以下应急工作，降低勒索软件产生的危害：隔离网络、分类处置、及时报告、排查加固、专业服务。

首先要将感染勒索软件的机器断网，防止勒索软件进行横向传播继续感染局域网中的其他机器。

不要重启机器，个别勒索软件的编写存在逻辑问题，在不重启的情况下有找回部分被加密文件的可能。

不要急于重做系统、格式化硬盘等破坏加密文档行为。先备份加密后的文档，被加密后带后缀的文件不具有传染性，可复制到任意计算机上做备份保存，但是恢复的可能性极小。可以根据情况考虑是否等待解密方案，有小部分勒索软件的解密工具会由于各种原因被放出。

虽然可以从后缀名、勒索信等信息判断出勒索软件家族类型。但由于暂时缺失勒索软件在用户网络内如何加密、传播的具体过程，仍无法准确判断其类型。虽然可以从威胁情报库中获取功能相似的病毒样本，通过模拟感染过程来确认，但在感染过程、感染源头的定位还需要细化，建议通过现场安全服务的形式进行定位、溯源。

防护建议

针对该勒索软件，建议个人及企业采取如下防护措施：

4.1个人防护

安装终端防护：安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块（默认开启）；

加强口令强度：避免使用弱口令，建议使用16位或更长的密码，包括大小写字母、数字和符号在内的组合，同时避免多个服务器使用相同口令；

定期更改口令：定期更改系统口令，避免出现口令泄露导致系统遭到入侵；

及时更新补丁：建议开启自动更新安装系统补丁，服务器、数据库、中间件等易受攻击部分应及时更新系统补丁；

关闭高危端口：对外服务采取最小化原则，关闭135、139、445和3389等不用的高危端口；

关闭PowerShell：如不使用PowerShell命令行工具，建议将其关闭；

定期数据备份：定期对重要文件进行数据备份，备份数据应与主机隔离。

4.2 企业防护

安装终端防护：安装反病毒软件，针对不同平台建议安装安天智甲终端防御系统；

及时更新补丁：建议开启自动更新安装系统补丁，服务器、数据库、中间件等易受攻击部分应及时更新系统补丁；

开启日志：开启关键日志收集功能（安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志），为安全事件的追踪溯源提供基础；
设置IP白名单规则：配置高级安全Windows防火墙，设置远程桌面连接的入站规则，将使用的IP地址或IP地址范围加入规则中，阻止规则外IP进行暴力破解；
主机加固：对系统进行渗透测试及安全加固；

事件对应的ATT&CK映射图谱

事件对应的技术特点分布图：

图5‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表：

表5‑1 ATT&CK技术行为描述表

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。