信息化觀察網(wǎng)

2020年8月Nefilim勒索軟件運(yùn)營(yíng)商入侵了SPIE集團(tuán),并且透露他們竊取了公司的敏感數(shù)據(jù),包括公司的電信服務(wù)合同、法律文件、授權(quán)書(shū)文件等等。

2020年8月Nefilim勒索軟件運(yùn)營(yíng)商入侵了SPIE集團(tuán),并且透露他們竊取了公司的敏感數(shù)據(jù),包括公司的電信服務(wù)合同、法律文件、授權(quán)書(shū)文件等等。

2020年12月美國(guó)家電跨國(guó)公司W(wǎng)hirlpool受到了Nefilim勒索軟件的攻擊，黑客要求公司支付贖金，否則將泄漏竊取的數(shù)據(jù)。與Whirlpool公司高管談判失敗后，黑客泄漏了從Whirlpool竊取的數(shù)據(jù)，其中包括員工福利、住宿要求、醫(yī)療信息及其他相關(guān)信息。

Nefilim以其雙重勒索功能和2020年發(fā)起的幾個(gè)著名攻擊而一舉成名。Nefilim是著名的勒索軟件變種之一，它們?cè)谄浠顒?dòng)中使用了雙重勒索手段。Nefilim最初于2020年3月被發(fā)現(xiàn)，從一開(kāi)始，它的攻擊策略便是威脅要公布受害者的被盜數(shù)據(jù)，迫使他們支付贖金。除了使用這種策略外，奈非利姆的另一個(gè)顯著特征是與奈米蒂的相似之處。實(shí)際上，它被認(rèn)為是較早的勒索軟件的演進(jìn)版本。

初始訪問(wèn)的細(xì)節(jié)分析

初始訪問(wèn)時(shí)，Nefilim背后的攻擊者利用各種附屬機(jī)構(gòu)來(lái)傳播其惡意軟件，這些附屬機(jī)構(gòu)會(huì)使用各種方法將惡意程序傳播出去。根據(jù)以前的攻擊分析，Nefilim很大程度上是通過(guò)暴露的RDP惡意注入到系統(tǒng)。一些附屬機(jī)構(gòu)還使用其他已知的漏洞進(jìn)行初始訪問(wèn)，這已經(jīng)得到了初始驗(yàn)證，從這些初始分析中我們發(fā)現(xiàn)了攻擊者使用Citrix漏洞(CVE-2019-19781)進(jìn)入系統(tǒng)。

2019年年底，Citrix ADC和Citrix Gateway被曝出存在遠(yuǎn)程代碼執(zhí)行的高危漏洞CVE-2019-19781，該漏洞最吸引人的地方在于，未授權(quán)的攻擊者可以利用它入侵控制Citrix設(shè)備，并實(shí)現(xiàn)進(jìn)一步的內(nèi)網(wǎng)資源訪問(wèn)獲取。

人們還看到Nefilim使用party工具收集包括Mimikatz、LaZagne和NirSoft的NetPass在內(nèi)的證書(shū)，被盜的憑證被用來(lái)攻擊服務(wù)器等價(jià)值較高的設(shè)備。

一旦進(jìn)入受害者系統(tǒng)，勒索軟件就開(kāi)始刪除并執(zhí)行其組件，如殺毒軟件和滲透工具以及Nefilim本身。

網(wǎng)絡(luò)上的橫向運(yùn)動(dòng)

攻擊者利用幾種合法的工具進(jìn)行橫向移動(dòng)，例如，它使用PsExec或Windows Management Instrumentation(WMI)進(jìn)行橫向移動(dòng)、刪除和執(zhí)行包括勒索軟件本身在內(nèi)的其他組件。據(jù)觀察，Nefilim使用批處理文件來(lái)終止某些流程和服務(wù)。它甚至使用PC Hunter，Process Hacker和Revo Uninstaller等第三方工具來(lái)終止與殺毒軟件相關(guān)的進(jìn)程、服務(wù)和應(yīng)用程序，它還使用了AdFind、BloodHound或SMBTool來(lái)識(shí)別連接到域的活動(dòng)目錄或設(shè)備。

盜取數(shù)據(jù)的細(xì)節(jié)

最近的勒索軟件變種的一個(gè)顯著特點(diǎn)是它們的數(shù)據(jù)盜取能力變得越來(lái)越強(qiáng)。對(duì)Nefilim來(lái)說(shuō)，可以觀察到從服務(wù)器或共享目錄復(fù)制數(shù)據(jù)到本地目錄，并使用7-Zip對(duì)這些數(shù)據(jù)進(jìn)行歸檔，然后它使用MEGAsync來(lái)竊取這些數(shù)據(jù)。

緩解措施

研究人員發(fā)現(xiàn)對(duì)于類(lèi)似于Nefilim的攻擊，它們?cè)谧畛醯脑L問(wèn)和橫向移動(dòng)期間花費(fèi)的時(shí)間成本很大。然而，一旦橫向移動(dòng)開(kāi)始，攻擊者就會(huì)迅速行動(dòng)。他們會(huì)優(yōu)先在主機(jī)之間移動(dòng)和竊取數(shù)據(jù)。因此，企業(yè)可以考慮限制在橫向移動(dòng)階段可以利用的計(jì)算機(jī)數(shù)量。這涉及到一些解決方案，如盡可能利用雙因素身份驗(yàn)證(2FA)、實(shí)現(xiàn)應(yīng)用程序安全列表和實(shí)施最低權(quán)限等安全性策略。

至于如何防御系統(tǒng)免受Nefilim威脅，最佳做法仍然是防御。最好是在防御上工作，以防止橫向移動(dòng)類(lèi)似的攻擊。組織應(yīng)該考慮使用基于canary文件（Canary文件類(lèi)型能夠快速識(shí)別出感染的發(fā)生,有助于抑制勒索軟件）的監(jiān)控、加密監(jiān)視和進(jìn)程終止。其他需要的最佳安全措施包括:

1.避免打開(kāi)未經(jīng)驗(yàn)證的電子郵件或點(diǎn)擊它們嵌入的鏈接，因?yàn)檫@些可能會(huì)啟動(dòng)勒索軟件的安裝進(jìn)程。

2.使用3-2-1規(guī)則備份你的重要文件。3份備份除了原有的副本，你應(yīng)該始終讓你的重要數(shù)據(jù)有兩個(gè)額外的備份副本，無(wú)論是存儲(chǔ)在服務(wù)器，網(wǎng)絡(luò)附加存儲(chǔ)，硬盤(pán)驅(qū)動(dòng)器，在云中或其他地方。這將確保不會(huì)發(fā)生一次單一的事件而毀掉所有重要數(shù)據(jù)的情況。2種格式：3-2-1規(guī)則的第二定律指出，你應(yīng)該將數(shù)據(jù)的副本以至少兩種不同的媒介或存儲(chǔ)類(lèi)型保存。這可能包括一個(gè)內(nèi)部驅(qū)動(dòng)器，以及外部媒介，如磁盤(pán)、磁帶、閃存、以及網(wǎng)絡(luò)存儲(chǔ)或云存儲(chǔ)。1份異地備份：將至少一份備份存儲(chǔ)在異地是保證數(shù)據(jù)免于受到類(lèi)似火災(zāi)，水災(zāi)或盜竊等物理災(zāi)難損害的必要措施。當(dāng)您已經(jīng)對(duì)您重要的數(shù)據(jù)創(chuàng)建了多個(gè)副本之后，保存初始原件的完整性就顯得異常重要，否則有該原件所備份的每個(gè)副本都會(huì)有相同的缺陷。

3.定期更新軟件、程序和應(yīng)用程序，以確保您的應(yīng)用程序是最新的，并具有針對(duì)新漏洞的最新保護(hù)措施。

本文翻譯自：https://www.trendmicro.com/en_us/research/21/b/nefilim-ransomware.html