Kann勒索软件分析报告

分析报告 目录|CONTENTS 勒索软件流行态势概述...............................................................................1Kann勒索软件再度活跃............................................................................3Kann勒索样本分析....................................................................................4Kann勒索样本概述............................................................................4密钥与加密...........................................................................................5收尾工作.............................................................................................13数据解密.....................................................................................................17安全防范建议.............................................................................................19勒索软件应急处置清单....................................................................20IOCs.............................................................................................................22HASH..................................................................................................22EMAIL.................................................................................................22参考文献.....................................................................................................23 01勒索软件流行态势概述 勒索软件自2015年出现以来始终处于一种高歌猛进的态势。根据360数字安全集团高级威胁研究分析中心编写的《2024年勒索软件流行态势报告》指出，勒索软件的整体传播趋势延续了2023年的平稳态势。无论是新兴勒索软件家族，还是传统勒索软件团伙的攻击活动，依然构成严峻威胁，但未出现单一勒索家族在短时间内的大规模爆发性攻击事件。此稳定态势一方面得益于全球主流安全厂商在反勒索防护方面的持续努力，另一方面也源于个人用户和政企单位对勒索软件这一特定恶意软件类别的高度重视与防范意识的增强。 不过国内勒索软件形势依然严峻，随着Web漏洞作为主要传播手段逐渐被新老勒索软件家族广泛应用，许多依赖Web服务的企业OA系统、财务软件和管理软件已成为政企单位遭受勒索攻击的主要入口。2024年，国内多个金融和能源领域企业遭遇勒索攻击。与此同时，港台地区及部分跨国贸易企业仍频繁遭遇勒索事件。知名企业如Halara和PandaBuy因数据泄露而遭受勒索，而宏碁和酷冷至尊等IT企业也因数据外泄面临勒索威胁。此外，闻泰 科技收购的荷兰芯片制造商Nexperia在2024年遭遇疑似由DarkAngels勒索软件发动的攻击，并收到了赎金威胁。 根据360安全云统计，360反勒索服务在2024年共处理了超过2151例勒索攻击求助，发现77个新勒索家族，其中多重勒索家族38个约占一半，拦截43.1亿次网络暴破攻击，保护近270万台设备免遭入侵，协助约3996设备完成勒索解密。 2024年，通过我们的勒索预警订阅服务，基于360全网安全大数据视野，监测勒索攻击的多个环节，在勒索攻击的准备阶段，以及病毒初始投递阶段，对监管、企业用户提供勒索预警订阅服务。希望在勒索的前期阶段，进行阻断，避免造成受害单位的进一步损失。2024年共计捕获勒索攻击事件线索5863起，涉及受害单位2148家，确认勒索病毒家族59个，攻击IP来源地涉及境外54个国家或地区，配合监管输出勒索攻击事件线索658起，覆盖全国多个地区。 当前文档对近期再次活跃的Kann勒索软件家族进行了技术分析，并介绍了我们对于被该勒索家族加密的数据所给出的解密方案及成果。 02Kann勒索软件再度活跃 近期，360反病毒团队在监测过程中发现了一款勒索软件开始活跃，其变种名为“.kann”与“xmrdata”。该勒索软件采用了较为复杂的混合加密策略，利用RC4与AES-CBC-256算法对受害者文件进行加密，并通过4096位的RSA算法对上述密钥再次进行加密，以此进一步提升了数据解密的难度。最后，勒索软件会将加密后的文件统一添加“.kann”扩展名。 而值得注意的是，虽然该勒索组织自认为在密钥管理上非常稳妥，但在随机密钥生成与处理过程中却存在一定设计缺陷。故此，研究人员通过对加密流程的逆向分析与算法优化，发现，可以尝试利用当前GPU或高性能CPU的算力，对加密文件进行密钥暴力破解，从而在较短时间内实现文件解密。这一发现为受害者带来了一线希望，也为防御和应对类似勒索攻击提供了有价值的参考经验。 03Kann勒索样本分析 Kann勒索样本概述 下图展示了该勒索家族加密数据的基本流程，包括使用混合加密方式通过RC4和AES算法加密文件，再使用RSA对密钥进行加密，以及最终对被加密文件添加“.kann”扩展名等主要操作： 密钥与加密 勒索软件运行后，会分两次生成KEY16+26共42位的随机密钥。 但由于勒索软件传入加密时使用了UTF16-LE格式，所以实际使用的密钥只使用了生成密钥的一部分。经分析，其实际使用的AES密钥长度为16位，而RC4密钥长度为8位： 下图则给出了被Kann勒索软件加密后的文件数据内容结构： 在完成了密钥生成及传入工作之后，勒索软件便展开了核心的文件数据加密工作。其首先会使用RC4算法对文件内容进行加密： 完成后，再用AES-CBC-256加密之前被RC4加密后的前2000字节（数据尾部利用0x16字节的0x0数据进行分隔，所以传入的待加密缓冲区长度为0x7E0）。 完成文件数据加密后，勒索软件再使用RSA对生成的密钥以及用户机器名拼接进行加密，本轮加密还具有以下三个特点： 1.算法初始化 调用`BCryptOpenAlgorithmProvider`打开加密算法提供程序。 2.密钥导入 使用`BCryptImportKeyPair`导入密钥对。 3.加密操作 调用`BCryptEncrypt`两次：第一次获取输出缓冲区大小，第二次执行实际加密。 而根据待加密文件的大小，勒索软件会做出如下不同的处理方式： 小文件（<2MB）跳过不加密中等文件（2MB-100MB）作为整体一次性加密大文件（>100MB）分块处理，每次加密100MB 最终，其会尝试结束一些特定的敏感进程并判断父进程是否为特定进程，如果不成功，则勒索软件会主动退出： 同时，勒索软件还会排除特定目录和特定扩展名，不对其进行加密。其中，Kann勒索软件会排除另外两个勒索加密的扩展名，分别为.Lock（Zyka勒索家族）和.DEVOS（Phobos勒索家族变种）。通过研究，我们发现这样做的原因竟然是这两个勒索和.kann使用了相同的入侵方式，有时候会抢先一步加密文件。 最后，Kann会检查被加密路径是否包含以下字符串（不区分大小写）并进行排除： C:\\WindowsNVIDIAIntelVMwareInetpubWindowsMail.kann.Lock.DEVOSVisualStudio常见扩展名(.exe,.dll,.sys,.msi) 收尾工作 在完成了核心的加密工作后，勒索软件会采用多种方式删除磁盘卷影副本，并禁用系统的启 器盘符上所有已删除文件的数据空间。 因为在Windows系统中删除一个文件时，文件的内容实际上并没有立即从磁盘上抹去，只是标记了该空间可以被重新使用。而调用上述这个cipher命令的/w参数(wipe)，可以通过用随机数据覆盖这些“已删除”的文件空间，以此来对抗受害者后续可能进行的文件恢复工作。 最终，Kann勒索会释放勒索信来通知受害者交付赎金： 被释放的勒索信中，留下了攻击者的邮箱及受害用户的ID信息。以此来让受害者根据这些 信息与攻击者进行联系并谈判赎金金额。 而此处还发现一个颇为有趣的情况——在该勒索软件留下的勒索信息中，除了通常的英语 和当前受害系统对应的中文外，还发现了一份俄语的勒索信息。 04数据解密 经安全研究人员分析发现，该勒索软件的密钥是从特定字符中随获取，由于其传入缓冲区的密钥使用UTF-16LE，导致最终实际使用的密钥只是生成的随机密钥串的一部分。这也就意味着我们借助受害用户手中的“民用设备”，尝试对被加密数据进行暴力破解成为可能。 我们首先使用NVIDIAGeForceGTX1660Ti显卡进行测试： 虽然此款显卡在当下并不算高端，但最终的测试结果依然令人颇为满意，仅用了不足十分钟便成功完成了解密。 此外，即便用户设备中没有独立显卡，也可以调用其CPU尝试破解。我们使用Intel的i9处理器进行了测试，虽然CPU进行此类运算会明显慢于GPU，但最终2个多小时的解密时间依然是可以接受的。 目前360解密大师也已经支持了解密.xmrdata和.kann加密的文件，并且我们也已使用解密大师成功解密了向我们求助的两位反馈用户的被加密文件。 05安全防范建议 尽管本次针对.kann勒索软件的加密缺陷为数据恢复提供了可能，但这并不意味着可以对勒索软件的威胁掉以轻心。面对逐渐进化的勒索攻击，企业和个人用户应持续加强自身安全防护。 针对勒索攻击，我们给出如下建议： 1.定期备份数据 建议将重要文件定期备份，并确保备份数据存放在物理隔离的设备或云端，避免因主机感染而导致备份文件也被加密或破坏。 2.及时更新系统与软件 保持操作系统和常用软件的最新补丁状态，及时修补已知漏洞，减少攻击者利用安全漏洞入侵的风险。 3.提高安全意识 警惕可疑邮件、未知来源的下载链接和附件，避免点击来历不明的内容。同时，建议关闭不必要的远程桌面服务，或采用强密码与多因素认证等安全措施。 4.建立应急响应机制 发生异常情况时，及时断网隔离受感染设备，保留相关日志和样本，第一时间联系专业安全团队处置，切勿盲目支付赎金或随意操作感染文件。 5.安装可靠的安全软件 选择并安装具备勒索防护功能的安全软件(如360)，定期进行全盘查杀和实时监控，及时发现并阻断异常行为，提升整体防御能力。 勒索软件应急处置清单 检查中招情况 检查有哪些设备被攻击，常见被攻击特征有：文件后缀为被改，文件夹留下勒索信息，桌面背景被修改，弹出勒索提示信息。 公网服务器域控设备与管控设备内网共享服务器办公机（检查是否仅是共享文件夹被