Nokayawa 勒索软件的变种：Nevada

最新推荐文章于 2024-08-14 12:18:30 发布

白帽子凯哥

最新推荐文章于 2024-08-14 12:18:30 发布

阅读量854

点赞数 10

文章标签：安全网络 web安全网络安全网络安全入门

本文链接：https://blog.csdn.net/kailiaq_1/article/details/139824905

版权

研究人员一直在持续跟踪 Nokoyawa 勒索软件家族及其前身，包括 Karma 勒索软件与 Nemty 勒索软件。最早在 2022 年 2 月，使用 C 语言开发的 Nokoyawa 勒索软件被在在野发现。其利用非对称椭圆曲线（ECC）、NIST B-233 （SECT233R1）算法与 Tiny-ECDH 开源库的 Salsa20 算法来对文件实现加密。2022 年 9 月，Nokoyawa 勒索软件启用 Rust 语言开发的版本。该版本的恶意软件仍然使用 Salsa20 算法，但使用 Curve25519 取代了 ECC 算法。

2022 年 12 月，地下犯罪论坛上出现了 Nevada 勒索软件，分析人员确定其与基于 Rust 开发的 Nokoyawa 变种存在代码共享。2023 年 1 月，研究人员发现了另一个使用 C 语言开发的 Nokoyawa 勒索软件，但使用了与 Rust 语言开发的 Nokoyawa 勒索软件相同的配置项。研究人员认为，Nokoyawa 勒索软件团伙似乎在利用两个独立的分支进行勒索软件攻击。

技术分析

目前已经发现至少四个不同版本的 Nokoyawa 勒索软件，根据代码相似性进行编号其异同如下所示：

特征	Nokoyawa 1.0	Nokoyawa 1.1	Nokoyawa 2.0	Nokoyawa 2.1(Nevada)
加密算法	SECT233R1 + Salsa20	SECT233R1 + Salsa20	X25519 + Salsa20	X25519 + Salsa20
加密库	Tiny-ECDH	Tiny-ECDH	x25519_dalek	x25519_dalek
开发语言	C/C++	C/C++	Rust	Rust
加密参数	硬编码	命令行	命令行	硬编码
API 哈希	否	是	否	否
独联体国家例外	否	否	是	是
架构	x64	x64	x64	x64
最早编译日期	2022 年 2 月	2023 年 1 月	2022 年 9 月	2023 年 1 月

所有的 Nokoyawa 变种间是存在共同点的，例如都是只针对 64 位版本 Windows 进行编译、都使用相同的方式删除 Windows 卷影副本。删除卷影副本的方式非常小众，通过 IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE (0x53C028) 参数调用函数 DeviceIoControl 即可删除全部卷影副本。

删除卷影副本的代码

所有版本的 Nokoyawa 都支持命令行参数 --file与 --dir，但 1.1 与 2.0 版本的 Nokoyawa 需要通过 --config参数配置才能执行勒索软件。配置参数如下所示：

Key	含义
NOTE_NAME	勒索信息文件名
NOTE_CONTENT	勒索信息内容
EXTENSION	加密文件扩展名（也用作随机数）
ECC_PUBLIC	Curve25519 算法公钥
SKIP_EXTS	不加密的文件扩展名
SKIP_DIRS	不加密的目录
ENCRYPT_NETWORK	加密网络共享
DELETE_SHADOW	删除 Windows 卷影副本
LOAD_HIDDEN_DRIVES	显示隐藏驱动器并加密文件

Nokoyawa 1.1 的 --safe-mode 参数支持进入 Windows 安全模式，从而加载最少的应用程序来实现加密文件的最大化。另外，Nokoyawa 1.1 也是唯一通过 CRC32 哈希混淆运行时调用 API 的变种。

Nevada 的参数被加密硬编码在样本文件中，但其命令行选项与 Nokoyawa 1.1 和 2.0 基本相同。如下所示，Nevada 还支持 --help 参数。

Nevada 的命令行提示

Nokayawa 2.0 和 Nevada 都会检查失陷主机是否位于独联体国家。前者通过 GetSystemDefaultLCID 获取语言 ID，后者调用 GetUserDefaultUILanguage 获取系统的区域与语言。攻击者并未逐一添加对应的 ID 值，而是采取了区间范围判断的方式。

根据 BinDiff 的分析，Nokoyawa 1.0 和 Nokoyawa 1.1 共享约 39% 的代码，而 Nokoyawa 2.0 和 Nevada 则共享超过 87% 的代码。

调试打印语句

Nokoyawa 2.0 和 Nevada 之间的另一个相似之处是调试打印语句几乎相同，如下所示：

左侧 Nokoyawa 2.0 与右侧 Nevada 的对比

许多字符串在 Nokoyawa 2.0 和 Nevada 之间也略有变化，如下所示：

image.png-29.8kB

调式打印语句的对比

加密算法

Nokoyawa 1.0 和 1.1 通过 Tiny-ECDH 库使用椭圆曲线 SECT233R1 (NIST B-233) 算法生成每个文件对应的 Salsa20 密钥。Nokoyawa 2.0 和 Nevada 通过 Rust 开源库 x25519_dalek 使用 Curve25519 算法为每个文件生成 Salsa20 密钥。

在 Nokoyawa 1.1 和 2.0 中，文件扩展名被用作随机数。而 Nokoyawa 和 Nevada 勒索软件的原始版本分别使用硬编码的值：lvcelvce 和 pmarpmar。

结论

研究人员确定了两个并行版本的 Nokoyawa 勒索软件，分别使用 C 与 Rust 进行开发。出现的两个分支可能表示该勒索软件的源代码已经泄露，或者攻击者想要逃避检测并且转移安全人员的注意力。总之，Nevada 勒索软件是基于 Rust 开发的 Nokoyawa 勒索软件新变种，而非新的勒索软件。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。