惡名昭彰的 Nefilim以其雙重勒索手段在2020年展開高調攻擊。本文裡將概述其所用的技術和工具。
Nefilim是最為人所知的勒索病毒Ransomware (勒索軟體/綁架病毒)之一,會在活動時運用雙重勒索手段。Nefilim最初於2020年三月出現 ,揚言公開受害者被竊的資料來迫使他們支付贖金。除了使用這種策略外,Nefilim另一個知名特色是與Nemty的相似。事實上,它被認為是早期勒索病毒的演進版本。
我們對此活躍的勒索病毒進行了簡要分析,並且介紹如何保護系統抵禦攻擊。
延伸閱讀:Nefilim 勒索病毒威脅曝光企業資料, 趨勢科技建議四步驟防止 RDP 遭利用
技術細節
初始進入
為了做到初始進入,Nefilim背後的操縱者會利用多個下游組織來散播其惡意軟體。這些下游組織會運用各種手段。根據以往的攻擊,Nefilim主要是透過暴露的RDP進入系統。一些下游組織還會利用已知漏洞來做到初始進入。這一點得到各家報告的支持,我們發現它會利用Citrix漏洞(CVE-2019-19781),一種不安全而可被暴力攻擊的RDP來進入系統。
還能夠看到Nefilim利用各種工具(包括Mimikatz、LaZagne和NirSoft的NetPass)來收集帳密。被竊帳密會被用來進入伺服器等具有高價值的機器。
一旦進入了受害系統,勒索病毒便會開始植入並執行如反防毒、資料滲出工具等組件,最後是Nefilim本身。
在網路上橫向移動
攻擊者會利用好幾種合法工具來進行橫向移動。例如,它會利用PsExec或Windows Management Instrumentation(WMI)來進行橫向移動、植入和執行包括勒索病毒本身等組件。根據觀察,Nefilim會用批次檔終止某些程序和服務。它甚至會用PC Hunter、Process Hacker和Revo Uninstaller等第三方工具來終止防毒相關的程序、服務和應用程式。它還會利用AdFind、BloodHound或SMBTool來找出Active Directory或連到網域的電腦。
資料滲出
勒索病毒最近一個值得注意的地方是資料滲出能力。像是Nefilim被觀察到會將資料從伺服器或共享資料夾複製到本地資料夾,並且用7-Zip壓縮存檔。接著它會用MEGAsync取出此資料。
保護系統抵禦勒索病毒
類似Nefilim的攻擊活動會在初始進入和進行橫向移動之間花費許多時間。不過一旦開始進行橫向移動,駭客就會迅速地工作。他們會優先考慮在主機間進行移動和滲出資料。所以組織可以思考該如何限制駭客在橫向移動階段能夠利用的電腦數量。這牽涉到如盡可能使用雙因子身份認證(2FA)、實施應用程式安全列表以及實施最小權限原則等資安作法。
談到保護系統抵禦Nefilim惡意威脅,最佳實作仍然適用。最好的辦法是採用防止類似攻擊進行橫向移動的防禦措施。組織應考慮使用誘餌檔案監控、加密動作監控和程序終止。其他要審視的最佳實作包括:
- 避免開啟未經驗證的電子郵件或點入其連結,因為可能會帶來勒索病毒感染。
- 運用3-2-1法則備份重要檔案:以兩種不同格式來製作三份備份,其中一份放在另一個地方。
- 定期更新軟體、程式和應用程式來確保自己的應用程式在最新狀態,並且能夠保護好最新的漏洞。
如果你認為自己的組織已經遭受此惡意活動的影響,請訪問此網頁來查看可用的趨勢科技解決方案,能有助於偵測和緩解此波攻擊所帶來的各種風險。
入侵指標(IOC)
SHA256 | 偵測名稱 |
08c7dfde13ade4b13350ae290616d7c2f4a87cbeac9a3886e90a175ee40fb641 | Ransom.Win32.NEFILIM.A |
205ddcd3469193139e4b93c8f76ed6bdbbf5108e7bcd51b48753c22ee6202765 | Ransom.Win32.NEFILIM.D |
5da71f76b9caea411658b43370af339ca20d419670c755b9c1bfc263b78f07f1 | Ransom.Win32.NEFILIM.D |
7a73032ece59af3316c4a64490344ee111e4cb06aaf00b4a96c10adfdd655599 | Ransom.Win32.NEFILIM.C |
eacbf729bb96cf2eddac62806a555309d08a705f6084dd98c7cf93503927c34f | Ransom.Win32.NEFILIM.G |
ee9ea85d37aa3a6bdc49a6edf39403d041f2155d724bd0659e6884746ea3a250 | Trojan.Win64.NEFILIM.A |
f51f128bca4dc6b0aa2355907998758a2e3ac808f14c30eb0b0902f71b04e3d5 | Ransom.Win32.NEFILIM.D |
fdaefa45c8679a161c6590b8f5bb735c12c9768172f81c930bb68c93a53002f7 | Ransom.Win32.NEFILIM.D |
@原文出處:An Analysis of the Nefilim Ransomware 作者:Janus Agcaoili,Byron Gelera