Akira ransomware v2

根据 Check Point Research (CPR) 的详细分析,今年早些时候,随着基于 Rust 的新变种的推出,Akira 勒索软件实现了重大飞跃。该版本被称为 “Akira v2”,展示了勒索软件设计的战略性演变,它以 ESXi 裸机管理程序服务器为目标,并利用 Rust 的独特属性来增强其复杂性和跨平台能力。

Rust 在生成高度优化、安全和跨平台的二进制文件方面享有盛誉,这使其成为合法开发者的不二之选。不幸的是,这些特性正日益吸引着网络犯罪分子。正如 CPR 所解释的那样,“用 Rust 编写的可执行文件在逆向工程方面具有特别高的挑战性”。这使得它们成为 Akira 等复杂威胁的理想载体。”

Rust 强大的内联和单态化功能增加了汇编级的复杂性,给研究人员带来了巨大挑战。CPR指出:“语言的本质加上编译器优化输出的驱动力,往往会导致禁止反汇编。”

在其核心部分,Akira v2 展示了一个针对多线程优化的结构化控制流,从而提高了性能。该勒索软件的主执行线程调用了一系列函数–“Main -> default_action -> lock -> lock_closure”,这些函数在并行线程中解析参数、收集目标文件并执行加密。

该变种的一个显著特点是专注于 ESXi 服务器。默认情况下,它以 /vmfs/volumes 等目录为目标,这些目录通常与 VMware 虚拟机相关联,但也保留了加密其他 Linux 系统的灵活性。该勒索软件的操作员可以通过命令行标志对其行为进行微调,如 -stopvm 来关闭虚拟机,或 -exclude 来跳过特定文件。

Akira 采用混合加密方法,结合了对称和非对称密码。每个目标文件都会收到一个唯一的对称密钥,并使用硬编码的 Curve25519 公钥进行加密。对于对称加密,Akira 不同寻常地使用了 SOSEMANUK,这种流密码因其复杂性和以前在 Pridelocker 等勒索软件中的使用而闻名。

CPR 的分析显示,“SOSEMANUK 的实现完全是内联的,必须使用传统的识别有罪常量的方法来识别密码”。这种内联加上 Rust 的优化策略,使得破解勒索软件的加密过程成为一项艰巨的任务。

该恶意软件是为方便操作员使用而量身定制的。利用 indicatif 等 Rust 库,Akira 提供了完善的命令行界面(CLI),包括进度条、详细的状态更新和丰富多彩的输出。

勒索软件开发者采用 Rust 标志着网络安全领域的一个关键时刻。虽然 Rust 的设计原则为合法开发者带来了不可否认的好处,但也给安全专业人员带来了独特的挑战。CPR 的报告强调,需要能够 “隔离和识别拼接的内联代码 ”的新工具,以跟上 Rust 在恶意软件生态系统中日益普及的步伐。

通过采用 Rust,其开发者创造出了一种不仅更强大而且更难分析的变种。正如 CPR 总结的那样:“曾几何时,逆向工程 C 二进制文件也是原始而可怕的;最终,人们的理解能力提高了,工具也跟上了,这项任务变得不再那么艰巨。我们只能推断并希望,即使是 Rust 编译器偶尔痛苦的输出,也会遭遇同样的命运。”

文章原文链接:https://www.anquanke.com/post/id/302453