揭秘Kraken勒索软件:跨平台加密与反分析技术解析

本文详细分析了Kraken勒索软件组织的攻击技术,包括利用SMB漏洞初始访问、使用Cloudflared持久化、SSHFS数据窃取,以及针对Windows、Linux和ESXi系统的加密器实现原理和反分析技术。

揭秘Kraken勒索软件组织

威胁概述

2025年8月,Cisco Talos观察到俄语组织Kraken实施的大规模狩猎和双重勒索攻击。该组织从HelloKitty勒索软件团伙的残余势力中崛起。在一次入侵中,Talos发现Kraken攻击者利用服务器消息块(SMB)漏洞获得初始访问权限,随后使用Cloudflared工具实现持久化,并在加密前使用SSH文件系统(SSHFS)进行数据窃取。

Kraken是一款跨平台勒索软件,拥有针对Windows、Linux和VMware ESXi的不同加密器, targeting广泛的企业环境。该勒索软件在开始加密过程前会对受害机器进行基准测试,这是勒索软件中罕见的功能。

Kraken组织背景

Kraken勒索软件组织于2025年2月出现,采用双重勒索技术,似乎是机会主义的,因为它没有专注于任何特定的业务领域。根据Kraken的泄露网站,受害者遍布多个地区,包括美国、英国、加拿大、丹麦、巴拿马和科威特。

与其他双重勒索运营商一样,Kraken也运营着一个数据泄露网站,用于披露未满足赎金要求的受害者的被盗数据。

与HelloKitty的关联

据外部报告,这个俄语团伙疑似从HelloKitty勒索软件团伙的残余中崛起,或者由其前成员建立。Kraken数据泄露网站的标题明确提到了HelloKitty勒索软件组名称。此外,Talos观察到Kraken和HelloKitty使用相同的勒索说明文件名,表明两个组织之间可能存在联系。

感染链分析

初始访问

攻击者通过利用暴露在互联网上的服务器SMB服务中的现有漏洞获得对受害者机器的初始访问权限。

权限提升与持久化

  • 提取有效的管理员和其他特权账户凭据
  • 使用外泄的特权账户凭据通过远程桌面连接重新进入受害者环境
  • 安装Cloudflared工具并配置反向隧道建立持久连接
  • 安装SSHFS工具用于导航受害者环境并窃取敏感数据

横向移动

攻击者部署Kraken勒索软件二进制文件,并通过远程桌面协议(RDP)连接横向移动到连接到受感染机器的其他机器,使用被盗的特权用户账户部署勒索软件二进制文件。

Kraken勒索软件技术分析

加密算法

Kraken勒索软件采用RSA加密算法(密钥长度4096位)和ChaCha20对称加密。该勒索软件还具有加密基准测试功能,可评估在受害者机器上的运行速度,避免系统过载。

Windows加密器

命令示例 

1

Encryptor[.]exe –key <32字节密钥> -path <\\目标加密路径> -timeout <超时时间> -d

命令行选项

选项 描述
-path 目标驱动器或文件位置
-timeout N 延迟加密器执行N秒
-solid 完全文件加密(无块)
-step N 要加密的文件块数
-limit N 限制加密到前N兆字节
-d 通过远程SSH连接执行
-noteonly 仅投放勒索说明,不执行加密
-tests 运行加密性能测试
-tempfile 临时测试文件路径
-tempsize 测试文件大小(兆字节)

Linux/ESXi加密器

命令示例 

1

chmod +x ./encryptor[.]elf && ./encryptor[.]elf –path <路径> -d -timeout <超时时间>

技术特性

  • 64位可执行文件,使用C++编写
  • 使用crosstool-NG版本1.26.0编译
  • 支持多线程加密
  • 支持完全加密和部分加密模式

反分析和反恢复技术

Windows版本

  • 禁用WoW64文件系统重定向
  • 控制流混淆技术
  • 操作系统异常处理程序
  • 基于睡眠的执行延迟
  • 停止备份服务并删除所有还原点
  • 清空回收站

Linux/ESXi版本

  • 控制流混淆与复杂循环结构
  • 守护进程模式运行
  • 多阶段自删除和清理过程
  • 创建并执行清理脚本删除日志文件、shell历史、勒索软件二进制文件和脚本本身

加密性能测试与基准测试

Kraken勒索软件能够在开始实际加密前对受害者机器进行性能测试。攻击者可以使用命令行选项评估受害者机器的性能并优化勒索软件加密过程。

性能测试公式:

1

速度 = ((总字节数 / 经过时间) * 1000) / 1048576

并行加密操作

Kraken Windows加密器包含四个加密模块:

  1. SQL数据库加密模块
  2. 网络共享加密模块
  3. 本地驱动器加密模块
  4. Hyper-V虚拟机加密模块

防护措施

Cisco安全产品覆盖

  • Cisco Secure Endpoint:防止恶意软件执行
  • Cisco Secure Email:阻止恶意电子邮件
  • Cisco Secure Firewall:检测恶意活动
  • Cisco Secure Network/Cloud Analytics:分析网络流量
  • Cisco Secure Malware Analytics:识别恶意二进制文件

检测标识

  • Snort SID:65480和65479
  • ClamAV检测:Win.Ransomware.Kraken-10056931-0和Unix.Ransomware.Kraken-10057031-0

总结

Kraken勒索软件组织展示了现代网络威胁的复杂性和适应性,其跨平台攻击能力、先进的加密技术和反分析措施使其成为企业环境中的严重威胁。了解其技术细节和攻击方法对于制定有效的防御策略至关重要。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次