Nefilim勒索軟件分析

lucywang
最近的勒索軟件變種的一個顯著特點是它們的數據盜取能力變得越來越強。對Nefilim來說,可以觀察到從服務器或共享目錄復制數據到本地目錄,并使用7-Zip對這些數據進行歸檔,然后它使用MEGAsync來竊取這些數據。

2020年8月Nefilim勒索軟件運營商入侵了SPIE集團,并且透露他們竊取了公司的敏感數據,包括公司的電信服務合同、法律文件、授權書文件等等。

2345截圖20170601094617.png

2020年8月Nefilim勒索軟件運營商入侵了SPIE集團,并且透露他們竊取了公司的敏感數據,包括公司的電信服務合同、法律文件、授權書文件等等。

2020年12月美國家電跨國公司Whirlpool受到了Nefilim勒索軟件的攻擊,黑客要求公司支付贖金,否則將泄漏竊取的數據。與Whirlpool公司高管談判失敗后,黑客泄漏了從Whirlpool竊取的數據,其中包括員工福利、住宿要求、醫(yī)療信息及其他相關信息。

Nefilim以其雙重勒索功能和2020年發(fā)起的幾個著名攻擊而一舉成名。Nefilim是著名的勒索軟件變種之一,它們在其活動中使用了雙重勒索手段。Nefilim最初于2020年3月被發(fā)現,從一開始,它的攻擊策略便是威脅要公布受害者的被盜數據,迫使他們支付贖金。除了使用這種策略外,奈非利姆的另一個顯著特征是與奈米蒂的相似之處。實際上,它被認為是較早的勒索軟件的演進版本。

初始訪問的細節(jié)分析

初始訪問時,Nefilim背后的攻擊者利用各種附屬機構來傳播其惡意軟件,這些附屬機構會使用各種方法將惡意程序傳播出去。根據以前的攻擊分析,Nefilim很大程度上是通過暴露的RDP惡意注入到系統(tǒng)。一些附屬機構還使用其他已知的漏洞進行初始訪問,這已經得到了初始驗證,從這些初始分析中我們發(fā)現了攻擊者使用Citrix漏洞(CVE-2019-19781)進入系統(tǒng)。

2019年年底,Citrix ADC和Citrix Gateway被曝出存在遠程代碼執(zhí)行的高危漏洞CVE-2019-19781,該漏洞最吸引人的地方在于,未授權的攻擊者可以利用它入侵控制Citrix設備,并實現進一步的內網資源訪問獲取。

人們還看到Nefilim使用party工具收集包括Mimikatz、LaZagne和NirSoft的NetPass在內的證書,被盜的憑證被用來攻擊服務器等價值較高的設備。

一旦進入受害者系統(tǒng),勒索軟件就開始刪除并執(zhí)行其組件,如殺毒軟件和滲透工具以及Nefilim本身。

網絡上的橫向運動

攻擊者利用幾種合法的工具進行橫向移動,例如,它使用PsExec或Windows Management Instrumentation(WMI)進行橫向移動、刪除和執(zhí)行包括勒索軟件本身在內的其他組件。據觀察,Nefilim使用批處理文件來終止某些流程和服務。它甚至使用PC Hunter,Process Hacker和Revo Uninstaller等第三方工具來終止與殺毒軟件相關的進程、服務和應用程序,它還使用了AdFind、BloodHound或SMBTool來識別連接到域的活動目錄或設備。

盜取數據的細節(jié)

最近的勒索軟件變種的一個顯著特點是它們的數據盜取能力變得越來越強。對Nefilim來說,可以觀察到從服務器或共享目錄復制數據到本地目錄,并使用7-Zip對這些數據進行歸檔,然后它使用MEGAsync來竊取這些數據。

緩解措施

研究人員發(fā)現對于類似于Nefilim的攻擊,它們在最初的訪問和橫向移動期間花費的時間成本很大。然而,一旦橫向移動開始,攻擊者就會迅速行動。他們會優(yōu)先在主機之間移動和竊取數據。因此,企業(yè)可以考慮限制在橫向移動階段可以利用的計算機數量。這涉及到一些解決方案,如盡可能利用雙因素身份驗證(2FA)、實現應用程序安全列表和實施最低權限等安全性策略。

至于如何防御系統(tǒng)免受Nefilim威脅,最佳做法仍然是防御。最好是在防御上工作,以防止橫向移動類似的攻擊。組織應該考慮使用基于canary文件(Canary文件類型能夠快速識別出感染的發(fā)生,有助于抑制勒索軟件)的監(jiān)控、加密監(jiān)視和進程終止。其他需要的最佳安全措施包括:

1.避免打開未經驗證的電子郵件或點擊它們嵌入的鏈接,因為這些可能會啟動勒索軟件的安裝進程。

2.使用3-2-1規(guī)則備份你的重要文件。3份備份除了原有的副本,你應該始終讓你的重要數據有兩個額外的備份副本,無論是存儲在服務器,網絡附加存儲,硬盤驅動器,在云中或其他地方。這將確保不會發(fā)生一次單一的事件而毀掉所有重要數據的情況。2種格式:3-2-1規(guī)則的第二定律指出,你應該將數據的副本以至少兩種不同的媒介或存儲類型保存。這可能包括一個內部驅動器,以及外部媒介,如磁盤、磁帶、閃存、以及網絡存儲或云存儲。1份異地備份:將至少一份備份存儲在異地是保證數據免于受到類似火災,水災或盜竊等物理災難損害的必要措施。當您已經對您重要的數據創(chuàng)建了多個副本之后,保存初始原件的完整性就顯得異常重要,否則有該原件所備份的每個副本都會有相同的缺陷。

3.定期更新軟件、程序和應用程序,以確保您的應用程序是最新的,并具有針對新漏洞的最新保護措施。

2345截圖20170601094617.png

本文翻譯自:https://www.trendmicro.com/en_us/research/21/b/nefilim-ransomware.html

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門