疑似使用定向攻击模式的Akira勒索软件分析

已于 2024-01-18 22:11:12 修改
阅读量250 收藏
点赞数
文章标签: android 智能手机 vscode
于 2023-08-26 07:33:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Innocence_0/article/details/132507270
版权

Akira 勒索软件概览

近期,安天CERT(CCTGA勒索软件防范应对工作组成员)发现多起Akira勒索软件攻击事件。Akira勒索软件于2023年3月被发现,其攻击载荷暂未发现大规模传播,国外安全厂商发现攻击者通过VPN对受害系统进行初始访问[1],故猜测其背后的攻击组织使用定向攻击模式开展勒索攻击活动。攻击者入侵至受害系统后通过远程桌面协议(RDP)工具或其他工具实现内网传播,勒索软件载荷采用AES+RSA算法对文件进行加密,暂未发现公开的解密工具。

Akira勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营,自4月21日起,其背后的攻击组织在Tor网站陆续发布受害者信息和窃取到的数据,截至5月30日共发布25名受害者信息和从11名受害者系统中窃取到的数据,包括建筑、金融、教育和房地产等多个行业。

表1‑1 Akira勒索软件概览

1685521623_647704d7686b8d91a93d2.png!small?1685521624060

样本功能与技术梳理

2.1 攻击流程

  1. 通过多种手段入侵受害者系统后,使用工具获取网内其他主机信息;

  2. 将窃密工具和勒索软件载荷投放至受害系统中;

  3. 将窃取到的数据通过特定C2信道或工具回传至攻击者;

  4. 攻击者将受害者信息展示于该组织所使用的Tor网站上;

1685521664_64770500c7170f4c2f063.png!small?1685521665495

图2‑1 受害者信息

  1. 窃密环节完成后,执行勒索软件载荷,投放勒索信并加密数据文件;

  2. 受害者通过勒索信中预留的Tor地址信息与攻击者进行谈判;

  3. 受害者如未满足攻击者需求,攻击者则会公开从受害者系统中窃取到的数据。

1685521686_647705165dcd9c42c6097.png!small?1685521686891

图2‑2 公开窃取到的数据

2.2 加密流程

  1. Akira勒索软件样本执行后调用命令行工具执行命令删除磁盘卷影备份、禁用系统恢复和绕过Windows Defender安全功能以确保后续流程顺利执行;

  2. 获取系统当前逻辑驱动器列表,在多个路径下放置名为“akira_readme.txt”的勒索信;

1685521703_64770527d59cad30ac739.png!small?1685521704529

图2‑3 勒索信

  1. 遍历目录和文件来搜索要加密的文件,排除加密特定扩展名、文件名和文件夹;

表2‑1 被排除加密扩展名、文件名及文件夹

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rSTurwo1-1693006387393)(https://image.3001.net/images/20230531/1685521727_6477053f7189828f31cc0.png!small?1685521728180)]

  1. 导入RSA公钥并组合使用AES算法对文件进行加密,被加密文件后缀名修改为.akira;

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LmAqKtxc-1693006387395)(https://image.3001.net/images/20230531/1685521772_6477056c5834d1e5adb7d.png!small?1685521773041)]

图2‑4 被加密文件后缀

应急处置建议

当机器感染勒索软件后,不要惊慌,可立即开展以下应急工作,降低勒索软件产生的危害: 隔离网络、分类处置、及时报告、排查加固、专业服务

  1. 首先要将感染勒索软件的机器断网,防止勒索软件进行横向传播继续感染局域网中的其他机器。

  2. 不要重启机器,个别勒索软件的编写存在逻辑问题,在不重启的情况下有找回部分被加密文件的可能。

  3. 不要急于重做系统、格式化硬盘等破坏加密文档行为。先备份加密后的文档,被加密后带后缀的文件不具有传染性,可复制到任意计算机上做备份保存,但是恢复的可能性极小。可以根据情况考虑是否等待解密方案,有小部分勒索软件的解密工具会由于各种原因被放出。

  4. 虽然可以从后缀名、勒索信等信息判断出勒索软件家族类型。但由于暂时缺失勒索软件在用户网络内如何加密、传播的具体过程,仍无法准确判断其类型。虽然可以从威胁情报库中获取功能相似的病毒样本,通过模拟感染过程来确认,但在感染过程、感染源头的定位还需要细化,建议通过现场安全服务的形式进行定位、溯源。

  5. 防护建议

针对该勒索软件,建议个人及企业采取如下防护措施:

4.1 个人防护

  1. 安装终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启);

  2. 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

  3. 定期更改口令:定期更改系统口令,避免出现口令泄露导致系统遭到入侵;

  4. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;

  5. 关闭高危端口:对外服务采取最小化原则,关闭135、139、445和3389等不用的高危端口;

  6. 关闭PowerShell:如不使用PowerShell命令行工具,建议将其关闭;

  7. 定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离。

4.2 企业防护

  1. 安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统;

  2. 及时更新补丁:建议开启自动更新安装系统补丁,服务器、数据库、中间件等易受攻击部分应及时更新系统补丁;

  3. 开启日志:开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;

  4. 设置IP白名单规则:配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解;

  5. 主机加固:对系统进行渗透测试及安全加固;

事件对应的 ATT &CK 映射图谱

事件对应的技术特点分布图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ij70wSmN-1693006387396)(https://image.3001.net/images/20230531/1685521821_6477059d9f9f2b61377a8.png!small?1685521822610)]

图5‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表5‑1 ATT&CK技术行为描述表

1685521841_647705b16dd89701085b6.png!small?1685521842437

IoCs

1685521856_647705c0a42bb94bce2a5.png!small?1685521857121

参考链接:

[1]Akira Ransomware is “bringin’ 1988 back”

https://news.sophos.com/en-us/2023/05/09/akira-ransomware-is-
bringin-88-back/

a Ransomware is “bringin’ 1988 back”

https://news.sophos.com/en-us/2023/05/09/akira-ransomware-is-
bringin-88-back/

学习网络安全技术的方法无非三种:

第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。

第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

第三种就是去找培训。

image.png

接下来,我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。

第一阶段:基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
image.png

第二阶段:web渗透

学习基础 时间:1周 ~ 2周:

① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
image.png

配置渗透环境 时间:3周 ~ 4周:

① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。

渗透实战操作 时间:约6周:

① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
image.png
以上就是入门阶段

第三阶段:进阶

已经入门并且找到工作之后又该怎么进阶?详情看下图
image.png

给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

![](https://img-blog.csdnimg.cn/3e9a39bf040d46da93e80689b407bb25.png)
程序员负总裁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Akira勒索软件团伙及其策略的全面解析
FreeBuf_的博客
01-14 1113
从2023年10月开始,Sophos观察到Akira行为者只执行勒索操作的新趋势,即在没有部署勒索软件或加密系统的情况下从受害者环境中窃取数据;在Sophos回应的所有Akira事件中,Sophos只观察到2023年8月底发生的一起利用Megazord勒索软件变体的案例;在一次事件中,Sophos观察到Akira攻击者利用以前未报告的后门(exe)来建立命令和控制(C2),这标志着Akira攻击者通常倾向于使用双重用途代理来实现C2功能;
勒索软件的原理
m0_62063669的博客
08-04 1836
算法,将受害者本地生成的RSA私钥进行了加密。通过这两步,只有作者使用自己私钥解密受害者RSA私钥后,受害者才能还原到本地AES密钥,从而使用AES算法解密文件。2. 借杀毒软件之名,假称在用户系统发现了安全威胁,令用户感到恐慌,从而购买所谓。会伪装成反病毒软件,谎称在用户的系统中发现病毒,诱骗用户付款购买。勒索软件攻破企业网络之后,如果顺利获取重要数据,就会进入下一环节,但如果没有。3. 计算机屏幕弹出的提示消息,称用户文件被加密,要求支付赎金。用户文档,只有在用户支付赎金后,才提供解密文档的方法。...
勒索软件攻击与防御
可爱的小狼的博客
01-08 6066
勒索软件攻击与防御 近几年来,勒索软件相关的安全事件在全球频繁爆发,引起了大众的重视。2017年一种名为“WannaCry”勒索病毒席卷全球近百个国家和地区。只经过了一个周日,WannaCry 就传播到了 150 多个国家的近 20 万台电脑。2018年11月,又一起勒索事件出现——旧金山MUNI城市捷运系统受到勒索加密勒索软件攻击攻击者发出公告索要100比特币,约合七万多美元。   勒索软...
关于防范ONION勒索软件病毒攻击的解决办法
AIGC Studio:分享AIGC前沿知识和好玩应用,公众号同名。
05-13 3954
一夜之间,身边的好多同学的电脑都中病毒了,特别是许多正在写毕业论文的同学可真是坑大了,磁盘文件会被病毒加密为.onion后缀,只有支付高额赎金才能解密恢复文件,对学习资料和个人数据造成严重损失。根据网络安全机构通报,这是不法分子利用NSA黑客武器库泄漏的“永恒之蓝”发起的病毒攻击事件。“永恒之蓝”会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和
勒索软件的几种常见形式及防御策略
07-22 2225
勒索软件(Ransomware,又称勒索病毒)是一种恶意软件,它的工作方式基本与计算机病毒类似,不过跟一般的计算机病毒不同,它们不会直接地破坏数据,而是将数据进行加密锁定...
勒索软件分析_勒索软件样本收集
kitsch0x97的博客
05-13 753
LIVE、DragonForce、Tisak、MEOW LEAKS、Lambda、、Electronic、、、CiphBit、、INC Ransom、RansomedVC、Cloak、Peace Tax Agency、Metaencryptor、RA GROUP、、、Akira、Rhysida、、、Zhong、AlphaWare、EXISC、、、RTM Locker、、Money Message、Merlin、726、、Masons、DoDo、Vendetta、Medusa持续更新····
2023勒索软件下半年报告
2301_76786857的博客
06-07 338
2023 年下半年,勒索软件攻击活动愈发猖獗,导致 2023 年全年勒索软件攻击事件整体数量较上一年再次大幅增长,勒索金额屡创新高,勒索软件依然稳坐网络威胁的头把交椅。纵观下半年,Lockbit3 组织发动了近 600 起攻击事件,凭借强势表现在整个勒索软件市场中独占鳌头。同时,一些新兴的勒索软件如 8Base、Akira、Medusa 也在下半年迅猛崛起,迅速挤入了排名 top10。天际友盟追踪了下半年近百起勒索软件攻击事件。
使用CipherTrust透明加密勒索软件保护阻止勒索软件的传播
SafePloy_SH的博客
04-22 594
BasedOther勒索软件保护产品通过搜索可执行二进制文件来检测勒索软件,以寻找勒索软件进程的商标,例如看起来是赎金通知的文本,或指向加密库的链接。在每种情况下,CTE-RWP都能够通过观察清除-读取-加密-写入的IO模式来检测每个勒索软件的行为,使用前面提到的数学方差、字节值频率和部分可压缩性的测量来确定读/写的数据是加密的还是清除的。在我们的实验室中,我们在vx-underground研究网站上选择了最近10次可以找到相应勒索软件攻击,并使用勒索软件攻击自己,以观察CTE-RWP的行为。
AKIRA-开源
04-22
AKIRA旨在创建一个C ++开发框架来构建认知体系结构和复杂的人工智能代理。功能:KQML,模糊逻辑,神经网络,模糊认知图和DIPRA(分布式BDI-信念期望意图目标模型)
BurpSuite使用的插件HaE-2.6.1.jar
05-01
在BurpSuite上使用的插件HaE-2.6.1.jar Extensions->Installed->Add->Extension details->Select file,选择路径下的此文件
akira1208
03-03
概要高校生向け学习支持Webアプリ実装した机能プロフィール画像アップロード机能(S3)英単语クイズ习得したものを保存ランキング机能メモ机能使用した技术・言语・フレームワークPHP 7.2 Laravel 5.5 MySQL的CSSフ...
Akira-crx插件
04-04
如果您有一堆Chrome窗口和一堆打开的标签,而又害怕处理如此庞大的网站,那就使用Akira! 您可以按窗口/网站对所有打开的标签进行分组,并按字母顺序对它们进行排序; 然后将重要的内容添加为书签,并丢弃不必要的...
Android 11】AOSP Settings添加屏幕旋转按钮
xuanyulevel6的博客
06-13 510
这里是客户要求添加按钮以实现屏幕旋转。这里的值可以是0,1,2,3 的任意一个。我这里没有陀螺仪,所以只需要这个命令就够了。更多的可以参考但是这有个缺陷,就是开机的动画不能随着设置好的屏幕方向旋转。
Android本地Gradle Plugin的创建以及使用
龙叔的专栏
06-12 371
2.新建一个module 取名叫buildSrc(注意,一定要叫这个名字,而且在setting.gradle中不要include这个Moudle,gradle会自动引入)有些Gradle插件,不想放到云端,本来也只是小功能而已,还放到云端,每次修改和发布都很麻烦,这种需求的插件放到本地还是合适的。使用就是在build.gradle中,正常使用插件。1.直接放到build.gradle。
RK3588 Android13去掉底部导航栏和修改壁纸图片
suifen_的博客
06-17 141
【代码】RK3588 Android13去掉底部导航栏和修改壁纸图片。
全志 Android 11:实现响应全局按键
最新发布
上周的博客
06-19 180
最近实现热键想功能,简单总结了下全志平台Android 11 的响应全局热键的方法。
web安全渗透测试十大常规项(一):web渗透测试之PHP反序列化
HACKONE的博客
06-16 609
POP:面向属性编程(Property-Oriented Programing)常用于上层语言构造特定调用链的方法,序列化攻击都在PHP魔术方法中出现可利用的漏洞,因自动调用触发漏洞,但如关键代码没在魔术方法中,而是在一个类的普通方法中。漏洞危害:如存在__wakeup方法,调用unserilize()方法前则先调用__wakeup方法,但序列化字符串中表示对象属性个数的值大于真实属性个数时会跳过__wakeup执行。__isset(): //在不可访问的属性上调用isset()或empty()触发。
akira matsuzawa 射频技术基础讲义
06-26
### 回答1: 射频技术基础讲义是一本详细介绍射频技术基础知识的书籍。书中讲授了射频电路、传输线、天线、射频检测等方面的知识。这本书通过简单易懂的语言,循序渐进地讲解了射频技术的基本原理和设计方法。同时,书中还介绍了很多实际应用中遇到的问题和解决方案,对于初学者和从事射频设计的工程师都是一本不可多得的好书。 书中重点讲解了传输线的特性和应用。不同的传输线适用于不同的电路。通过对传输线的了解,可以有效提高射频电路的阻抗匹配和信号传输性能。此外,书中还讲解了射频电路中常用器件的电性能参数,以及如何选取适合的器件进行设计。 天线是射频技术不可缺少的一部分,书中介绍了天线的基本原理、类型、特性参数和设计方法。理解天线的特性以及对不同天线类型的理解将有助于设计高效的天线。 总之,射频技术基础讲义对于理解射频技术的基本原理和实际应用具有重要的意义。这本书对于想要深入了解射频技术的人士来说是一本非常实用的入门书。 ### 回答2: 《射频技术基础讲义》是一本介绍射频技术基础知识的教材,作者是日本著名学者松泽明。本书主要介绍了射频技术的相关原理、分析与应用等方面知识,内容涵盖了频率、信号、传输线、滤波器、放大器、混频器、频率合成器、检波器、天线等射频电路的基础知识。 本书在内容上注重基础理论的讲解,使用简单明了的语言、图表和实例进行阐述,使读者可以更好地理解和掌握射频技术的相关知识。同时,本书也着重介绍了射频电路的设计和性能分析方法,为实际应用提供了指导和帮助。 此外,本书还包括了大量实际应用案例,如射频放大器的设计、射频前端的设计、脉冲调制信号的产生等,并提供了许多实验操作指南和数据实例,可以帮助读者深入学习和研究射频技术。 总的来说,这本讲义既适合射频领域初学者学习,也适合已有一定经验的工程师作为参考资料。它具有很高的实用性和参考价值,是一本非常值得推荐的射频技术教材和指南。 ### 回答3: 射频技术基础讲义作者松沢昭(Akira Matsuzawa)是一位著名的射频技术教育家和工程师,他的讲义尤其适合需要学习和科研射频技术的学生和工程师。这本讲义详细介绍了射频技术的基本原理和应用,旨在帮助读者深入理解射频系统的设计和应用。 本讲义包括射频信号传输的基础知识,如常用的频率、功率和频段等概念,以及传输线、阻抗匹配和滤波器等基本电路的设计方法。此外,讲义还介绍了射频天线、混频器、放大器、检波器和调制解调器等重要器件的工作原理和性能参数,并解释了射频信号的特点和应用范围。 整本讲义系统性地介绍了射频技术的基本知识和应用,从而帮助读者深入理解射频电路的设计和射频通信系统的原理。尤其是在现代通信和网络技术中,射频技术得到了广泛的应用和发展,所以这种基础性的讲义对相关行业人员来说是非常有价值的。 总而言之,松沢昭的《射频技术基础讲义》以其可读性和深度,为读者提供了一个基础的入门,为在射频技术领域深入探索的读者提供了一个有用的参考书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值