Kann勒索软件分析报告

Kann 勒索软件分析报告目录 |CONTENTS勒索软件流行态势概述...............................................................................1Kann 勒索软件再度活跃............................................................................3Kann 勒索样本分析.................................................................................... 4Kann 勒索样本概述............................................................................4密钥与加密........................................................................................... 5收尾工作.............................................................................................13数据解密..................................................................................................... 17安全防范建议.............................................................................................19勒索软件应急处置清单....................................................................20IOCs.............................................................................................................22HASH..................................................................................................22EMAIL.................................................................................................22参考文献..................................................................................................... 23101勒索软件流行态势概述勒索软件自 2015 年出现以来始终处于一种高歌猛进的态势。根据 360 数字安全集团高级威胁研究分析中心编写的《2024 年勒索软件流行态势报告》指出，勒索软件的整体传播趋势延续了 2023 年的平稳态势。无论是新兴勒索软件家族，还是传统勒索软件团伙的攻击活动，依然构成严峻威胁，但未出现单一勒索家族在短时间内的大规模爆发性攻击事件。此稳定态势一方面得益于全球主流安全厂商在反勒索防护方面的持续努力，另一方面也源于个人用户和政企单位对勒索软件这一特定恶意软件类别的高度重视与防范意识的增强。不过国内勒索软件形势依然严峻，随着 Web 漏洞作为主要传播手段逐渐被新老勒索软件家族广泛应用，许多依赖 Web 服务的企业 OA 系统、财务软件和管理软件已成为政企单位遭受勒索攻击的主要入口。2024 年，国内多个金融和能源领域企业遭遇勒索攻击。与此同时，港台地区及部分跨国贸易企业仍频繁遭遇勒索事件。知名企业如 Halara 和 PandaBuy 因数据泄露而遭受勒索，而宏碁和酷冷至尊等 IT 企业也因数据外泄面临勒索威胁。此外，闻泰2科技收购的荷兰芯片制造商 Nexperia 在 2024 年遭遇疑似由 Dark Angels 勒索软件发动的攻击，并收到了赎金威胁。根据 360 安全云统计，360 反勒索服务在 2024 年共处理了超过 2151 例勒索攻击求助，发现 77 个新勒索家族，其中多重勒索家族 38 个约占一半，拦截 43.1 亿次网络暴破攻击，保护近 270 万台设备免遭入侵，协助约 3996 设备完成勒索解密。2024 年，通过我们的勒索预警订阅服务，基于 360 全网安全大数据视野，监测勒索攻击的多个环节，在勒索攻击的准备阶段，以及病毒初始投递阶段，对监管、企业用户提供勒索预警订阅服务。希望在勒索的前期阶段，进行阻断，避免造成受害单位的进一步损失。2024年共计捕获勒索攻击事件线索 5863 起，涉及受害单位 2148 家，确认勒索病毒家族 59 个，攻击 IP 来源地涉及境外 54 个国家或地区，配合监管输出勒索攻击事件线索 658 起，覆盖全国多个地区。当前文档对近期再次活跃的 Kann 勒索软件家族进行了技术分析，并介绍了我们对于被该勒索家族加密的数据所给出的解密方案及成果。302Kann 勒索软件再度活跃近期，360 反病毒团队在监测过程中发现了一款勒索软件开始活跃，其变种名为“.kann”与“xmrdata”。该勒索软件采用了较为复杂的混合加密策略，利用 RC4 与 AES-CBC-256算法对受害者文件进行加密，并通过 4096 位的 RSA 算法对上述密钥再次进行加密，以此进一步提升了数据解密的难度。最后，勒索软件会将加密后的文件统一添加“.kann”扩展名。而值得注意的是，虽然该勒索组织自认为在密钥管理上非常稳妥，但在随机密钥生成与处理过程中却存在一定设计缺陷。故此，研究人员通过对加密流程的逆向分析与算法优化，发现，可以尝试利用当前 GPU 或高性能 CPU 的算力，对加密文件进行密钥暴力破解，从而在较短时间内实现文件解密。这一发现为受害者带来了一线希望，也为防御和应对类似勒索攻击提供了有价值的参考经验。403Kann 勒索样本分析Kann 勒索样本概述下图展示了该勒索家族加密数据的基本流程，包括使用混合加密方式通过 RC4 和 AES 算法加密文件，再使用 RSA 对密钥进行加密，以及最终对被加密文件添加“.kann”扩展名等主要操作：图 1. 加密流程示意图5密钥与加密勒索软件运行后，会分两次生成 KEY 16+26 共 42 位的随机密钥。图 2. 生成 AES 密钥图 3. 生成 RC4 密钥6但由于勒索软件传入加密时使用了 UTF16-LE 格式，所以实际使用的密钥只使用了生成密钥的一部分。经分析，其实际使用的 AES 密钥长度为 16 位，而 RC4 密钥长度为 8 位：图 4. 传入并使用密钥下图则给出了被 Kann 勒索软件加密后的文件数据内容结构：图 5. 被加