首页 科技内容详情
欧博app下载(www.aLLbetgame.us):完整还原Nefilim 勒索软件的攻击历程

欧博app下载(www.aLLbetgame.us):完整还原Nefilim 勒索软件的攻击历程

分类:科技

网址:

反馈错误: 联络客服

点击直达

USDT交易平台

U交所(www.usdt8.vip),全球頂尖的USDT場外擔保交易平臺。

,

Nefilim 是一种新型勒索软件家族,它使用先进的手艺举行更有针对性和更致命的攻击。现在Nefilim又举行了手艺迭代,使其更难以被检测到,这使它们能够在系统中运行数周而不被发现,甚至在攻击最先之前,就已经完成了对受害者的深度剖析,从而允许他们提议勒索攻击。

Nefilim 是一种勒索软件即服务 (RaaS) 操作,于 2020 年 3 月首次被发现,被以为是从早期的Nemty勒索软件家族演化而来的。他们的目的是价值数十亿美元的公司,主要位于北美或南美的金融、制造或运输行业。他们在利润分成模式下运营,Nefilim从他们的勒索软件服务中获得30%的利润,剩下的70%给提供网络接见和实行攻击的隶属机构。

与所有勒索软件一样,恢复依赖于外部备份驱动器或为加密密钥付费,由于 Nefilim 勒索软件将原始文件替换为加密版本。

随着新一波双重勒索勒索软件家族的泛起,当受害者不立刻支付赎金、长时间泄露其敏感数据时,Nefilim 的隶属公司就会变得稀奇具有攻击性。他们是少数几个耐久(数月至数年)托管泄露的受害者数据的组织之一。

下面是一个虚构的用例,它使用Nefilim勒索软件家族的深入案例研究构建,以演示它们的典型攻击历程是若何发生的。用例行使MITRE ATT&CK框架来界说所使用的每一种战略和手艺。

Nefilim 攻击演示

假设X公司是一家年收入10亿美元的全球制造机构,总部位于北美,是Nefilim的理想目的。

渗透环境

在对 X 公司面向互联网的主机举行自动破绽扫描 (T1595.002) 时代,攻击者发现 X 尚未修补 Citrix Application Delivery Controller 破绽 (CVE-2019-19781)。这是他们可以行使的破绽,通过露出的远程桌面协议 (RDP) 获得初始接见权限 (T1133),因此攻击最先了!

X的平安团队应该在整个环境中维护他们公然的服务的清单,定期扫描破绽,这样他们就可以自动削减任何对他们网络的潜在入侵。 Citrix 等面向 互联网的系统应始终优先打补丁,并通过壮大的接见控制举行治理。可以使用最低权限的治理模子和壮大的多因素身份验证系统 (M1032) 来限制接见,以增强帐户平安并防止凭证接见。若是 RDP 是不需要的,这可能是它未被修补的缘故原由,那么它应该被禁用或阻止 (M1042)。还可以行使网络署理、网关和防火墙来拒绝对内部系统的直接远程接见,从而阻止攻击者进入。

入侵防御系统(Intrusion Prevention Systems, IPS)可以在补丁可用性或补丁部署之条件供分外的一层珍爱,这对于防止有针对性的勒索软件攻击尤为主要,IPS日志还提供了检测初始接见流动的相关信息。

一旦攻击者乐成渗透到 X 的网络,他们就会最先下载进一步推进他们的攻击所需的其他工具 (T1608)。攻击者会下载 Cobalt Strike 信标以确立后门和对环境的持久接见,以便他们可以远程执行下令,然后窃取数据。该信标毗邻回他们预先确立的一个空壳公司,该公司托管其 Cobalt Strike Command and Control (C&C) 服务器。他们还下载 Process Hacker 以住手终端平安署理 (T1489),并下载 Mimikatz 以转储凭证 (T1003.001),以及他们在整个攻击历程中所需的其他工具。Process Hacker 是一个开源的历程浏览器和内存编辑器,支持内存搜索已经提供一个壮大的 run-as 工具。可以用来显示Windows系统下的服务、历程、线程、模块、句柄以及内存区域的数据。

攻击者需要提升权限才气以治理员身份运行某些工具,他们行使了 X 系统中另一个未修补的破绽 (T1068),即 Windows COM 权限提升破绽 (CVE-2017-0213)。依附 Mimikatz 提供的更高权限和凭证,他们已准备好继续攻击。

几年前披露的多个破绽的使用提醒人们实时软件更新 (M1051) 和补丁治理的主要性。可以开发威胁情报程序来辅助确定哪些软件破绽和 N 天破绽可能对组织的影响最大 (M1019)。虚拟补丁程序可以增强现有补丁治理流程,以进一步防御已知和未知破绽。应用程序隔离和沙箱也可用于缓解行使未修补破绽 (M1048) 的忠告的影响。最终,组织需要优越的应用程序平安性来寻找和检测开刊行为。

Mimikatz 是一种盛行的工具,用于从内存中转储明文密码、哈希、Kerberos 通知和其他敏感数据的凭证。它还可用于通过哈希转达攻击 (T1550) 接见网络内的其他系统。然则,Mimikatz 没有主要的正当用途可以注释治理员在他们的系统上使用它,以是在大多数情形下,应该将此工具视为可疑的工具。

可以通过严酷的帐户治理和 Active Directory 审核战略来确立缓解措施。强制执行最低权限治理模子 (M1018) 并限制跨系统的凭证重叠 (M1026) 有助于进一步防止凭证受到攻击,从而实现横向移动。

欧博app下载

欢迎进入欧博app下载网站:(www.aLLbetgame.us),欧博app下载网站是欧博官方网站。欧博app下载网站开放欧博注册、欧博代理、欧博电脑客户端、欧博app下载等业务。

完成攻击

攻击者行使系统中已有的工具横向移动并扩大入侵(T1570),他们使用 PsExec 启动 taskkill 来住手可能提醒 X 平安团队的服务,并住手备份服务 (T1489)。 AdFind 为他们提供有关流动目录设置的主要信息,他们使用这些信息来绘制 X 的基础架构并找到其他感兴趣的目的 (T1018)。随着时间的推移,他们在 X 的整个环境中移动,包罗外围装备 (T1120) 和共享驱动器 (T1135),识别所有有价值的数据 (T1083),然后使用 PowerShell 下令,他们战略性地将 Cobalt Strike 信标投放到对其主要的特定系统中边走边攻击。

网络入侵检测和防御系统 (M1031) 对于缓解网络级别初始接见后的攻击者流动至关主要。这些系统可以辅助平安团队发现他们已被攻破,并通过网络、云和终端/服务器层的传感器跟踪攻击者的流动,网络分段和微分段有助于抑制横向移动并支持平安监控。

自动渗漏

攻击者通过在 X 的环境 (T1041) 中设置的 Cobalt Strike 信标确立的现有 C&C 通道使用自动渗漏 (T1020)。为了阻止触发网络数据传输阈值警报(T1030),在牢靠巨细的chuck中使用文件传输协议(FTP)窃取敏感数据。对于任何大文件,他们使用 mega.nz 通过正当 Web 服务 (T1567) 回调数据。

为了防止数据泄露,可以限制基于 Web 的内容 (M1021) 并过滤网络流量 (M1037)。任何可疑的 DNS、HTTP 和 HTTPS 毗邻都应受到监控或完全阻止。 杀毒软件也应该与机械学习插件保持同步。凭证履历,阻止任何流向 Cobalt Strike C&C 服务器的流量很主要,然则由于 Cobalt Strike 旨在规避平安措施,因此需要接纳多层方式才气使其有用。

执行勒索软件

几周后,攻击者对他们已经识别出 X 环境中所有有价值的数据感应知足。他们等到周末以辅助确保他们不被发现,然后他们在 X 的网络上部署了 Nefilim 勒索软件。赎金通知已准备好解密,然后 Nefilim 导入 RSA-2048 公钥并使其准备用于加密。 Nefilim 负载是使用下令行参数 (T1059) 执行的,该参数包罗目录的完整路径,其中文件被标识为要加密。 X 的所有逻辑驱动器都经由加密,并为每个驱动器写入一个名为“NEFILIM-DECRYPT.txt”的解密赎金通知。


在最先加密文件之前,Nefilim 检查它们是否匹配其文件和目录名称的清扫列表。确认后,Nefilim 对文件内容举行加密(T1486),然后将原始内容替换为加密版本。之后它会从内存中删除加密密钥,并在 3 秒后自行删除,删除其路径。


X 公司的首席信息平安官在渡过一个轻松的周末后,发现他的公司已经成为 Nefilim 勒索软件攻击的受害者。


若何预防?

在评估你对勒索软件的防护时,你应该首先审核你检测恶意软件的能力。这种战略用于试图抑制组织的恢复能力,所使用的手艺是潜在勒索软件攻击的最佳指标。 Nefilim 勒索软件二进制文件很简朴,因此一样平常的勒索软件缓解手艺可以提防该勒索软件家族。

攻击者在攻击的整个生命周期内住手了数周的服务 (T1489),这些操作可以通过权限限制 (M1022 & M1024) 和网络分段 (M1030) 手艺来阻止。通过将运行入侵检测、剖析和响应系统的网络与生产环境星散,可以降低攻击者看到和滋扰要害响应功效的风险。通过限制注册表和目录权限,可以珍爱要害服务免受滋扰或被攻击者禁用。归根结底,平安帐户治理 (M1018) 对于确保只有授权治理员才气接见要害服务异常主要。

组织的平安团队还可以思量针对乐成的勒索软件攻击等情形制订灾难恢复设计。这些设计还可以包罗自动流程,例如例行数据备份 (M1053) 和测试可用于从攻击中恢复的备份驱动器的平安性。这些备份应平安地存储在系统之外,并在云环境中启用版本控制以制作备份副本。然而,这并不能阻止被盗数据的泄露,因此预防是防止勒索软件攻击的要害。

由于大多数组织使用多个自力的平安层,威胁信息被隔离起来,有无数不相关的警报。这导致缺乏可见性,使得实时毗邻高级勒索软件攻击的痕迹以防止它变得极其难题。为了保持领先于现代攻击手艺,一个能够查看整个环境、关联可疑流动并通过高质量警报检测要害威胁的解决方案是必不能少的。

本文翻译自:https://www.trendmicro.com/en_us/research/21/f/nefilim-modern-ransomware-attack-story.html
  • USDT官网(www.caibao.it) @回复Ta

    2021-09-13 00:18:53 

    至于这款高通 SM8450 的详细规格,外洋爆料者 @evleaks 示意它基于 ARM v9 架构,接纳台积电 4nm 工艺。反复看不腻

  • USDTOTCAPI(www.usdt8.vip) @回复Ta

    2021-09-19 00:13:58 

    USDT跑分平台www.usdt8.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

    休息会再看

发布评论