1. Akira勒索軟件概覽

近期，安天CERT（CCTGA勒索軟件防范應對工作組成員）發(fā)現(xiàn)多起Akira勒索軟件攻擊事件。Akira勒索軟件于2023年3月被發(fā)現(xiàn)，其攻擊載荷暫未發(fā)現(xiàn)大規(guī)模傳播，國外安全廠商發(fā)現(xiàn)攻擊者通過VPN對受害系統(tǒng)進行初始訪問[1]，故猜測其背后的攻擊組織使用定向攻擊模式開展勒索攻擊活動。攻擊者入侵至受害系統(tǒng)后通過遠程桌面協(xié)議（RDP）工具或其他工具實現(xiàn)內(nèi)網(wǎng)傳播，勒索軟件載荷采用AES+RSA算法對文件進行加密，暫未發(fā)現(xiàn)公開的解密工具。

Akira勒索軟件采用“雙重勒索”即“竊取數(shù)據(jù)+加密文件”的模式運營，自4月21日起，其背后的攻擊組織在Tor網(wǎng)站陸續(xù)發(fā)布受害者信息和竊取到的數(shù)據(jù)，截至5月30日共發(fā)布25名受害者信息和從11名受害者系統(tǒng)中竊取到的數(shù)據(jù)，包括建筑、金融、教育和房地產(chǎn)等多個行業(yè)。

?

表1?1 Akira勒索軟件概覽

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對該勒索軟件的有效查殺。

2. 樣本功能與技術梳理

2.1?攻擊流程

?

1.????? 通過多種手段入侵受害者系統(tǒng)后，使用工具獲取網(wǎng)內(nèi)其他主機信息；

?

2.????? 將竊密工具和勒索軟件載荷投放至受害系統(tǒng)中；

?

3.????? 將竊取到的數(shù)據(jù)通過特定C2信道或工具回傳至攻擊者；

?

4.? ? ?攻擊者將受害者信息展示于該組織所使用的Tor網(wǎng)站上；

4.????? 竊密環(huán)節(jié)完成后，執(zhí)行勒索軟件載荷，投放勒索信并加密數(shù)據(jù)文件；

?

5.????? 受害者通過勒索信中預留的Tor地址信息與攻擊者進行談判；

?

6.????? 受害者如未滿足攻擊者需求，攻擊者則會公開從受害者系統(tǒng)中竊取到的數(shù)據(jù)。

?

2.2?加密流程

?

1.????? Akira勒索軟件樣本執(zhí)行后調(diào)用命令行工具執(zhí)行命令刪除磁盤卷影備份、禁用系統(tǒng)恢復和繞過Windows Defender安全功能以確保后續(xù)流程順利執(zhí)行；

?

2. 獲取系統(tǒng)當前邏輯驅(qū)動器列表，在多個路徑下放置名為“akira_readme.txt”的勒索信；

圖2?3 勒索信

?

3. 遍歷目錄和文件來搜索要加密的文件，排除加密特定擴展名、文件名和文件夾；

?

表2?1 被排除加密擴展名、文件名及文件夾

?

4. 導入RSA公鑰并組合使用AES算法對文件進行加密，被加密文件后綴名修改為.akira；

圖2?4 被加密文件后綴

3. 應急處置建議

?

當機器感染勒索軟件后，不要驚慌，可立即開展以下應急工作，降低勒索軟件產(chǎn)生的危害：隔離網(wǎng)絡、分類處置、及時報告、排查加固、專業(yè)服務。

?

1.????? 首先要將感染勒索軟件的機器斷網(wǎng)，防止勒索軟件進行橫向傳播繼續(xù)感染局域網(wǎng)中的其他機器。

?

2.????? 不要重啟機器，個別勒索軟件的編寫存在邏輯問題，在不重啟的情況下有找回部分被加密文件的可能。

?

3.????? 不要急于重做系統(tǒng)、格式化硬盤等破壞加密文檔行為。先備份加密后的文檔，被加密后帶后綴的文件不具有傳染性，可復制到任意計算機上做備份保存，但是恢復的可能性極小?？梢愿鶕?jù)情況考慮是否等待解密方案，有小部分勒索軟件的解密工具會由于各種原因被放出。

?

4. 雖然可以從后綴名、勒索信等信息判斷出勒索軟件家族類型。但由于暫時缺失勒索軟件在用戶網(wǎng)絡內(nèi)如何加密、傳播的具體過程，仍無法準確判斷其類型。雖然可以從威脅情報庫中獲取功能相似的病毒樣本，通過模擬感染過程來確認，但在感染過程、感染源頭的定位還需要細化，建議通過現(xiàn)場安全服務的形式進行定位、溯源。

4. 防護建議

?

針對該勒索軟件，安天建議個人及企業(yè)采取如下防護措施：

?

4.1?個人防護

?1.??? 安裝終端防護：安裝反病毒軟件。建議安天智甲用戶開啟勒索病毒防御工具模塊（默認開啟）；?

2.??? 加強口令強度：避免使用弱口令，建議使用16位或更長的密碼，包括大小寫字母、數(shù)字和符號在內(nèi)的組合，同時避免多個服務器使用相同口令；?

3.??? 定期更改口令：定期更改系統(tǒng)口令，避免出現(xiàn)口令泄露導致系統(tǒng)遭到入侵；?

4.??? 及時更新補?。航ㄗh開啟自動更新安裝系統(tǒng)補丁，服務器、數(shù)據(jù)庫、中間件等易受攻擊部分應及時更新系統(tǒng)補?。?

5.??? 關閉高危端口：對外服務采取最小化原則，關閉135、139、445和3389等不用的高危端口；?

6.??? 關閉PowerShell：如不使用PowerShell命令行工具，建議將其關閉；?

7. 定期數(shù)據(jù)備份：定期對重要文件進行數(shù)據(jù)備份，備份數(shù)據(jù)應與主機隔離。?

4.2 企業(yè)防護

?1.??? 安裝終端防護：安裝反病毒軟件，針對不同平臺建議安裝安天智甲終端防御系統(tǒng)；?

2.??? 及時更新補丁：建議開啟自動更新安裝系統(tǒng)補丁，服務器、數(shù)據(jù)庫、中間件等易受攻擊部分應及時更新系統(tǒng)補?。?

3.??? 開啟日志：開啟關鍵日志收集功能（安全日志、系統(tǒng)日志、PowerShell日志、IIS日志、錯誤日志、訪問日志、傳輸日志和Cookie日志），為安全事件的追蹤溯源提供基礎；?

4.??? 設置IP白名單規(guī)則：配置高級安全Windows防火墻，設置遠程桌面連接的入站規(guī)則，將使用的IP地址或IP地址范圍加入規(guī)則中，阻止規(guī)則外IP進行暴力破解；?

5. 主機加固：對系統(tǒng)進行滲透測試及安全加固；?

6.??? 部署入侵檢測系統(tǒng)（IDS）：部署流量監(jiān)控類軟件或設備，便于對勒索軟件的發(fā)現(xiàn)與追蹤溯源。安天探海威脅檢測系統(tǒng)（PTD）以網(wǎng)絡流量為檢測分析對象，能精準檢測出已知海量惡意代碼和網(wǎng)絡攻擊活動，有效發(fā)現(xiàn)網(wǎng)絡可疑行為、資產(chǎn)和各類未知威脅；

7.??? 災備預案：建立安全災備預案，安全事件發(fā)生時確保備份業(yè)務系統(tǒng)可以快速啟用；

8.??? 安天服務：若遭受勒索軟件攻擊，建議及時斷網(wǎng)，并保護現(xiàn)場等待安全工程師對計算機進行排查。安天7*24小時服務熱線：400-840-9234。

?

經(jīng)驗證，安天智甲終端防御系統(tǒng)（簡稱IEP）可實現(xiàn)對該勒索軟件的有效查殺。

圖4?1 安天智甲可實現(xiàn)對該勒索軟件的有效查殺

?

5. 事件對應的ATT&CK映射圖譜

事件對應的技術特點分布圖：?

具體ATT&CK技術行為描述表：?

6. IoCs

參考鏈接：

[1]Akira Ransomware is “bringin’ 1988 back”

https://news.sophos.com/en-us/2023/05/09/akira-ransomware-is-bringin-88-back/