Nefilim 是一种新型勒索软件家族，它使用先进的技术进行更有针对性和更致命的攻击。目前Nefilim又进行了技术迭代，使其更难以被检测到，这使它们能够在系统中运行数周而不被发现，甚至在攻击开始之前，就已经完成了对受害者的深度分析，从而允许他们发起勒索攻击。

Nefilim 是一种勒索软件即服务 (RaaS) 操作，于 2020 年 3 月首次被发现，被认为是从早期的Nemty勒索软件家族演化而来的。他们的目标是价值数十亿美元的公司，主要位于北美或南美的金融、制造或运输行业。他们在利润分成模式下运营，Nefilim从他们的勒索软件服务中获得30%的利润，剩下的70%给提供网络访问和实施攻击的附属机构。

与所有勒索软件一样，恢复依赖于外部备份驱动器或为加密密钥付费，因为 Nefilim 勒索软件将原始文件替换为加密版本。

随着新一波双重勒索勒索软件家族的出现，当受害者不立即支付赎金、长时间泄露其敏感数据时，Nefilim 的附属公司就会变得特别具有攻击性。他们是少数几个长期（数月至数年）托管泄露的受害者数据的组织之一。

下面是一个虚构的用例，它使用Nefilim勒索软件家族的深入案例研究构建，以演示它们的典型攻击过程是如何发生的。用例利用MITRE ATT&CK框架来定义所使用的每一种策略和技术。

Nefilim 攻击演示

假设X公司是一家年收入10亿美元的全球制造机构，总部位于北美，是Nefilim的理想目标。

渗透环境

在对 X 公司面向互联网的主机进行主动漏洞扫描 (T1595.002) 期间，攻击者发现 X 尚未修补 Citrix Application Delivery Controller 漏洞 (CVE-2019-19781)。这是他们可以利用的漏洞，通过暴露的远程桌面协议 (RDP) 获得初始访问权限 (T1133)，因此攻击开始了！

X的安全团队应该在整个环境中维护他们公开的服务的清单，定期扫描漏洞，这样他们就可以主动减少任何对他们网络的潜在入侵。 Citrix 等面向 互联网的系统应始终优先打补丁，并通过强大的访问控制进行管理。可以使用最低权限的管理模型和强大的多因素身份验证系统 (M1032) 来限制访问，以加强帐户安全并防止凭据访问。如果 RDP 是不必要的，这可能是它未被修补的原因，那么它应该被禁用或阻止 (M1042)。还可以利用网络代理、网关和防火墙来拒绝对内部系统的直接远程访问，从而阻止攻击者进入。

入侵防御系统(Intrusion Prevention Systems, IPS)可以在补丁可用性或补丁部署之前提供额外的一层保护，这对于防止有针对性的勒索软件攻击尤为重要，IPS日志还提供了检测初始访问活动的相关信息。

一旦攻击者成功渗透到 X 的网络，他们就会开始下载进一步推进他们的攻击所需的其他工具 (T1608)。攻击者会下载 Cobalt Strike 信标以建立后门和对环境的持久访问，以便他们可以远程执行命令，然后窃取数据。该信标连接回他们预先建立的一个空壳公司，该公司托管其 Cobalt Strike Command and Control (C&C) 服务器。他们还下载 Process Hacker 以停止终端安全代理 (T1489)，并下载 Mimikatz 以转储凭证 (T1003.001)，以及他们在整个攻击过程中所需的其他工具。Process Hacker 是一个开源的进程浏览器和内存编辑器，支持内存搜索已经提供一个强大的 run-as 工具。可以用来显示Windows系统下的服务、进程、线程、模块、句柄以及内存区域的数据。

攻击者需要提升权限才能以管理员身份运行某些工具，他们利用了 X 系统中另一个未修补的漏洞 (T1068)，即 Windows COM 权限提升漏洞 (CVE-2017-0213)。凭借 Mimikatz 提供的更高权限和凭据，他们已准备好继续攻击。

几年前披露的多个漏洞的使用提醒人们及时软件更新 (M1051) 和补丁管理的重要性。可以开发威胁情报程序来帮助确定哪些软件漏洞和 N 天漏洞可能对组织的影响最大 (M1019)。虚拟补丁程序可以增强现有补丁管理流程，以进一步防御已知和未知漏洞。应用程序隔离和沙箱也可用于缓解利用未修补漏洞 (M1048) 的警告的影响。最终，组织需要良好的应用程序安全性来寻找和检测开发行为。

Mimikatz 是一种流行的工具，用于从内存中转储明文密码、哈希、Kerberos 通知和其他敏感数据的凭证。它还可用于通过哈希传递攻击 (T1550) 访问网络内的其他系统。但是，Mimikatz 没有主要的合法用途可以解释管理员在他们的系统上使用它，所以在大多数情况下，应该将此工具视为可疑的工具。

可以通过严格的帐户管理和 Active Directory 审核策略来建立缓解措施。强制执行最低权限管理模型 (M1018) 并限制跨系统的凭证重叠 (M1026) 有助于进一步防止凭证受到攻击，从而实现横向移动。

完成攻击

攻击者利用系统中已有的工具横向移动并扩大入侵（T1570），他们使用 PsExec 启动 taskkill 来停止可能提醒 X 安全团队的服务，并停止备份服务 (T1489)。 AdFind 为他们提供有关活动目录设置的重要信息，他们使用这些信息来绘制 X 的基础架构并找到其他感兴趣的目标 (T1018)。随着时间的推移，他们在 X 的整个环境中移动，包括外围设备 (T1120) 和共享驱动器 (T1135)，识别所有有价值的数据 (T1083)，然后使用 PowerShell 命令，他们战略性地将 Cobalt Strike 信标投放到对其重要的特定系统中边走边攻击。

网络入侵检测和防御系统 (M1031) 对于缓解网络级别初始访问后的攻击者活动至关重要。这些系统可以帮助安全团队发现他们已被攻破，并通过网络、云和终端/服务器层的传感器跟踪攻击者的活动，网络分段和微分段有助于抑制横向移动并支持安全监控。

自动渗漏

攻击者通过在 X 的环境 (T1041) 中设置的 Cobalt Strike 信标建立的现有 C&C 通道使用自动渗漏 (T1020)。为了避免触发网络数据传输阈值警报(T1030)，在固定大小的chuck中使用文件传输协议(FTP)窃取敏感数据。对于任何大文件，他们使用 mega.nz 通过合法 Web 服务 (T1567) 回调数据。

为了防止数据泄露，可以限制基于 Web 的内容 (M1021) 并过滤网络流量 (M1037)。任何可疑的 DNS、HTTP 和 HTTPS 连接都应受到监控或完全阻止。 杀毒软件也应该与机器学习插件保持同步。根据经验，阻止任何流向 Cobalt Strike C&C 服务器的流量很重要，但是由于 Cobalt Strike 旨在规避安全措施，因此需要采用多层方法才能使其有效。

执行勒索软件

几周后，攻击者对他们已经识别出 X 环境中所有有价值的数据感到满意。他们等到周末以帮助确保他们不被发现，然后他们在 X 的网络上部署了 Nefilim 勒索软件。赎金通知已准备好解密，然后 Nefilim 导入 RSA-2048 公钥并使其准备用于加密。 Nefilim 负载是使用命令行参数 (T1059) 执行的，该参数包含目录的完整路径，其中文件被标识为要加密。 X 的所有逻辑驱动器都经过加密，并为每个驱动器写入一个名为“NEFILIM-DECRYPT.txt”的解密赎金通知。

在开始加密文件之前，Nefilim 检查它们是否匹配其文件和目录名称的排除列表。确认后，Nefilim 对文件内容进行加密（T1486），然后将原始内容替换为加密版本。之后它会从内存中删除加密密钥，并在 3 秒后自行删除，删除其路径。

X 公司的首席信息安全官在度过一个轻松的周末后，发现他的公司已经成为 Nefilim 勒索软件攻击的受害者。

如何预防？

在评估你对勒索软件的防护时，你应该首先审核你检测恶意软件的能力。这种策略用于试图抑制组织的恢复能力，所使用的技术是潜在勒索软件攻击的最佳指标。 Nefilim 勒索软件二进制文件很简单，因此一般的勒索软件缓解技术可以防范该勒索软件家族。

攻击者在攻击的整个生命周期内停止了数周的服务 (T1489)，这些操作可以通过权限限制 (M1022 & M1024) 和网络分段 (M1030) 技术来阻止。通过将运行入侵检测、分析和响应系统的网络与生产环境分离，可以降低攻击者看到和干扰关键响应功能的风险。通过限制注册表和目录权限，可以保护关键服务免受干扰或被攻击者禁用。归根结底，安全帐户管理 (M1018) 对于确保只有授权管理员才能访问关键服务非常重要。

组织的安全团队还可以考虑针对成功的勒索软件攻击等情况制定灾难恢复计划。这些计划还可以包含主动流程，例如例行数据备份 (M1053) 和测试可用于从攻击中恢复的备份驱动器的安全性。这些备份应安全地存储在系统之外，并在云环境中启用版本控制以制作备份副本。然而，这并不能阻止被盗数据的泄露，因此预防是防止勒索软件攻击的关键。

由于大多数组织使用多个独立的安全层，威胁信息被隔离起来，有无数不相关的警报。这导致缺乏可见性，使得及时连接高级勒索软件攻击的痕迹以防止它变得极其困难。为了保持领先于现代攻击技术，一个能够查看整个环境、关联可疑活动并通过高质量警报检测关键威胁的解决方案是必不可少的。

本文翻译自：https://www.trendmicro.com/en_us/research/21/f/nefilim-modern-ransomware-attack-story.html如若转载，请注明原文地址