北京网络安全工程师培训班
北京网络安全工程师培训班
- 上课时段:见详情
- 教学点:1个
- 开班时间:随到随学
- 课程价格:请咨询
- 已关注:983
- 优惠价格:请咨询
- 咨询电话: 400-008-6280
渗透测试培训,Nokoyawa 勒索软件新变种从公开源码中补充功能
Nokoyawa 是今年新出现的 Windows 勒索软件,Fortinet 最早捕获的样本是在 2022 年 2 月编译的,并且与 Karma 勒索软件存在大量的相似之处。Karma 可以通过一系列变种追溯到名为 Nemty 的勒索软件,后者为在 2019 年被发现的勒索软件。
近期发现的 Nokoyawa 变种,重用了大量公开源码来改进自身。本文将会介绍 Nokoyawa 勒索软件的及基本情况。
与 Karma 能够在 32 位/ 64 位 Windows 运行不同,只发现了在 64 位 Windows 上运行的 Nokoyawa 样本。
Nokoyawa 提供了几个命令行参数:
help:打印命令行选项列表
network:加密所有驱动器和卷上的文件(本地和网络)
file:加密单个文件
dir:加密指定目录和子目录中的所有文件
如果没有提供参数,Nokoyawa 默认加密所有本地驱动器和卷。
为了保持加密速度,Nokoyawa 创建了多个线程来加密不以 .exe、.dll 或 .lnk 为扩展名的文件。文件名中带有 NOKOYAWA 的文件也会被跳过。此外,一些目录及其子目录通过将其名称的哈希与样本中硬编码的哈希列表进行对比也会被跳过。
攻击者为每个样本都生成一对新的椭圆曲线加密公私钥对,然后将公钥嵌入文件中。这样,攻击者消除了受害者可以使用相同密钥解密的可能性,因为每个受害者都是独立的。
被勒索软件加密的文件会附加 .NOKOYAWA的扩展名,赎金勒索信息被写入每个加密目录中的 NOKOYAWA_readme.txt中。
2022 年 4 月发现的样本中增加了三个新功能,都为了让 Nokoyawa 可以更多的加密文件。这些功能在勒索软件中广为使用,但 Nokoyawa 才开始将其引入,尝试在技术能力上追赶其他攻击者。
研究人员能够确认,新增的功能都是从公开源码中复制而来的,包括 2021 年 9 月泄露的 Babuk 勒索软件源码。
举个例子,终止进程与服务以减少被其他程序锁定文件的数量。这一点上,Nokoyawa 的代码与 Babuk 的代码完全一致。
代码比对
受到影响的进程如下所示:
sql.exe
oracle.exe
ocssd.exe
dbsnmp.exe
synctime.exe
agntsvc.exe
isqlplussvc.exe
xfssvccon.exe
mydesktopservice.exe
ocautoupds.exe
encsvc.exe
firefox.exe
tbirdconfig.exe
mydesktopqos.exe
ocomm.exe
dbeng50.exe
sqbcoreservice.exe
excel.exe
infopath.exe
msaccess.exe
mspub.exe
onenote.exe
outlook.exe
powerpnt.exe
steam.exe
thebat.exe
thunderbird.exe
visio.exe
winword.exe
wordpad.exe
notepad.exe
受到影响的服务如下所示:
vss
sql
svc$
memtas
mepocs
sophos
veeam
backup
GxVss
GxBlr
GxFWD
GxCVD
GxCIMgr
DefWatch
ccEvtMgr
ccSetMgr
SavRoam
RTVscan
QBFCService
QBIDPService
Intuit.QuickBooks.FCS
QBCFMonitorService
YooBackup
YooIT
zhudongfangyu
sophos
stc_raw_agent
VSNAPVSS
VeeamTransportSvc
VeeamDeploymentService
VeeamNFSSvc
veeam
PDVFSService
BackupExecVSSProvider
BackupExecAgentAccelerator
BackupExecAgentBrowser
BackupExecDiveciMediaService
BackupExecJobEngine
BackupExecManagementService
BackupExecRPCService
AcrSch2Svc
AcronisAgent
CASAD2DWebSvc
CAARCUpdateSvc
样本中还使用 IOCTL_VOLSNAP_SET_MAX_DIFF_AREA_SIZE (0x53c028) 控制代码的 DeviceIoControl API 将卷影副本快照的空间大小调整为 1 字节,以此删除卷影副本快照。该技术实现似乎是从公开的 POC 中复制而来,旧样本中没有删除卷影副本快照的功能。
不过,以上功能想要正常执行都是需要管理员权限的。在样本中未观察到 Windows UAC 绕过的实现,攻击者可能通过其他方式获取的管理员权限。
在 2022 年 2 月的样本中,受害者要求通过电子邮件联系攻击者。
勒索信息
在 2022 年 4 月 的样本中,电子邮件被替换成了通过 Tor 的 URL。尽管使用的都是相同的 .onion 域名,但每个样本的标识 ID 是唯一的。
勒索信息
访问暗网网站会进入在线聊天页面,受害者可以与攻击者沟通协商并支付赎金。研究人员观察到潜在受害者与攻击者的对话,攻击者表示可以提供最多三个文件的免费解密,证明能够解密:
在线聊天
页面标注了赎金金额,本例中为 150 万美元。支持比特币与门罗币支付,付款后攻击者提供解密工具:
支付赎金
勒索软件的专业化程度越来越高,这种网站可能是另一种改进尝试。
值得注意的是,攻击者威胁会将数据泄露出去。但研究人员并未发现 Nokoyawa 样本具备这种能力。这很可能是攻击者虚张声势,迫使受害者支付赎金。
Nokoyawa 勒索软件的新变种也在持续更新改进,利用公开源码更新自身功能,以小的代价为恶意软件提高技术水平。
A32b7e40fc353fd2f13307d8bfe1c7c634c8c897b80e72a9872baa9a1da08c46
304e01db6da020fc1e0e02fdaccd60467a9e01579f246a8846dcfc33c1a959f8
Fortinet
5G时代将改变互联网的网络安全格局
随着人工智能、5G、物联网、大数据等技术的广泛应用,网络安全问题成关注焦点
FaceBook数据泄露 2018年上半年,FaceBook 5000万用户数据泄露,导致其市值蒸发360亿美元,品牌遭遇声誉危机。 | 俄罗斯世界杯遭网络攻击 2018年世界杯结束后不久,俄罗斯总统表示,俄罗斯在世界杯期间遭到将近2500万次网络攻击 |
GitHub 遭Memcached DDoS 攻击 2018年2月,知名网站GitHub 遭遇大规模 Memcached DDoS 攻击,流量峰值高达1.35 Tbps。 | TLS 1.2 协议现漏洞 Citrix发现SSL 3.0协议的后续版本TLS 1.2协议存在漏洞,近3000网站受影响。 |
网络安全上升至国家战略,大势所趋
网络安全形势紧迫,多项政策出台支持信息安全产业发展
网络运维人才稀缺 网络安全工程师身价倍增
就业起薪高且门槛低,人才需求量大,岗位晋升方向广
线上运维6大优势 学习更便捷
达内OMO教学和模式,线上线下无缝转班,学习自由灵活
技术紧随企业需求与华为强强联合 建立VUE授权考试中 | 零基础、低学历起步,也能轻松晋升 网络工程入IT行业有捷径 | 随时学: 学习选择更灵活 直播学:每周五次直播课 随时问: 与随时讲师交流 |
直播辅导:每周五天答疑 督学一对一:疑难解答及时有效 | 专家讲师授课,确保学习效果 辅导讲师在线答疑,保障学员 学的懂,会应用 | 专家讲师授课,确保学习效果 辅导讲师在线答疑,保障学员 学的懂,会应用 |
解决600+岗位问题-参与10余个实战项目
达内课程全栈型培养:专业技术 + 综合实战 + 沟通表达 + 职业素养
学习目标 LEARNING OBJECTIVES • 掌握TCP/IP协议、网络架构分析及实现 • IIS网络信息服务、虚拟网站主机、DNS域名解析 • 掌握企业交换/路由组网、华为交换机/路由器配置操作方法 • 掌握网络安全风险及防御技巧、运维效率秘术 • 硬件系统网络综合,多层次网络运维技能实训 | |
学习目标 LEARNING OBJECTIVES • 掌握通信参考模型、网络数据封装与传输、IP地址解析 • 掌握IP协议、ICMP协议、 ARP协议 • 掌握企业网防环技术(STP、MSTP、RSTP) • 掌握第六代网络地址协议、IPv6网络实现 • 大中型企业网络规划及实施 | |
学习目标 LEARNING OBJECTIVES • 主掌握流服务器、网络应用及数据库管理zabbix集中监控服务器、网络设备 • 了解常见的系统风险分析、常见的网络攻击手段 • 华为USG防火墙应用、思科ASA防火墙应用 • OpenVAS漏洞扫描、Web渗透测试、网站漏洞分析 • 技术面试、项目经验指导、快速就业案例实训 |
热门商业实战,带你从0开始攒经验
真正解决工作中出现的各种问题,让学员在实操中获取项目经验
潘家园校区 企业网系统集成 | 案例描述 计算机数量200~500的中等规模公司,此项目的系统集成涉及从零开始的办公环境 到最终可正常办公的一条龙服务,比如设计、施工、采购、装系统、装应用、连网配置等等 |
TEDU集团大中华区 TTS教学平台建设 | 案例描述 达内公司现有TTS教学平台网络为原型,实现不同城市、不同校区之间网络的互连,确保网络之间的访问畅通,配备集中的数据采集、视频监控子系统,远程VPN接入等。 |
云网应用部署及管理 | 案例描述 企业服务器数量并不多(一般<30台),可以购买云服务商提供的虚拟服务器以节省运维成本。此项目以主流公有云的ECS产品为例,涵盖云服务器的购买、管理操作、升级、监控等一系列实践操作。 |
企业网站服务器 部署及管 | 案例描述 为了保持公司对外业务系统的稳定性,相当一部分企业会选择Linux作为操作系统平台。此项目以部署一个稳定的企业Web论坛为需求,涉及到在Linux系统上的一系列必备操作。 |
云网数据中心MPLS VPN网络建设 | 案例描述 某云网数据中心有政务网、税务网等业务,所有业务在云计算中心内部局域网内采用BGP MPLS VPN来控制VPN间的互访。 |
企业级IDS/IPS 安全防御系统 | 案例描述 针对层出不穷的各类网络攻击,企业普遍采用部署入侵检测系统(IDS)和入侵防御系统(IPS)。IPS可以直接防御网络攻击,而IDS可以和网络设备联动防御网络攻击。 |
扫描二维码免费领取试听课程
登录51乐学网
注册51乐学网