完整還原Nefilim 勒索軟件的攻擊過程
Nefilim 是一種新型勒索軟件家族,它使用先進的技術進行更有針對性和更致命的攻擊。目前Nefilim又進行了技術迭代,使其更難以被檢測到,這使它們能夠在系統中運行數周而不被發現,甚至在攻擊開始之前,就已經完成了對受害者的深度分析,從而允許他們發起勒索攻擊。
Nefilim 是一種勒索軟件即服務 (RaaS) 操作,于 2020 年 3 月首次被發現,被認為是從早期的Nemty勒索軟件家族演化而來的。他們的目標是價值數十億美元的公司,主要位于北美或南美的金融、制造或運輸行業。他們在利潤分成模式下運營,Nefilim從他們的勒索軟件服務中獲得30%的利潤,剩下的70%給提供網絡訪問和實施攻擊的附屬機構。
與所有勒索軟件一樣,恢復依賴于外部備份驅動器或為加密密鑰付費,因為 Nefilim 勒索軟件將原始文件替換為加密版本。
隨著新一波雙重勒索勒索軟件家族的出現,當受害者不立即支付贖金、長時間泄露其敏感數據時,Nefilim 的附屬公司就會變得特別具有攻擊性。他們是少數幾個長期(數月至數年)托管泄露的受害者數據的組織之一。
下面是一個虛構的用例,它使用Nefilim勒索軟件家族的深入案例研究構建,以演示它們的典型攻擊過程是如何發生的。用例利用MITRE ATT&CK框架來定義所使用的每一種策略和技術。
Nefilim 攻擊演示
假設X公司是一家年收入10億美元的全球制造機構,總部位于北美,是Nefilim的理想目標。
滲透環境
在對 X 公司面向互聯網的主機進行主動漏洞掃描 (T1595.002) 期間,攻擊者發現 X 尚未修補 Citrix Application Delivery Controller 漏洞 (CVE-2019-19781)。這是他們可以利用的漏洞,通過暴露的遠程桌面協議 (RDP) 獲得初始訪問權限 (T1133),因此攻擊開始了!
X的安全團隊應該在整個環境中維護他們公開的服務的清單,定期掃描漏洞,這樣他們就可以主動減少任何對他們網絡的潛在入侵。Citrix 等面向 互聯網的系統應始終優先打補丁,并通過強大的訪問控制進行管理。可以使用最低權限的管理模型和強大的多因素身份驗證系統 (M1032) 來限制訪問,以加強帳戶安全并防止憑據訪問。如果 RDP 是不必要的,這可能是它未被修補的原因,那么它應該被禁用或阻止 (M1042)。還可以利用網絡代理、網關和防火墻來拒絕對內部系統的直接遠程訪問,從而阻止攻擊者進入。
入侵防御系統(Intrusion Prevention Systems, IPS)可以在補丁可用性或補丁部署之前提供額外的一層保護,這對于防止有針對性的勒索軟件攻擊尤為重要,IPS日志還提供了檢測初始訪問活動的相關信息。
一旦攻擊者成功滲透到 X 的網絡,他們就會開始下載進一步推進他們的攻擊所需的其他工具 (T1608)。攻擊者會下載 Cobalt Strike 信標以建立后門和對環境的持久訪問,以便他們可以遠程執行命令,然后竊取數據。該信標連接回他們預先建立的一個空殼公司,該公司托管其 Cobalt Strike Command and Control (C&C) 服務器。他們還下載 Process Hacker 以停止終端安全代理 (T1489),并下載 Mimikatz 以轉儲憑證 (T1003.001),以及他們在整個攻擊過程中所需的其他工具。Process Hacker 是一個開源的進程瀏覽器和內存編輯器,支持內存搜索已經提供一個強大的 run-as 工具。可以用來顯示Windows系統下的服務、進程、線程、模塊、句柄以及內存區域的數據。
攻擊者需要提升權限才能以管理員身份運行某些工具,他們利用了 X 系統中另一個未修補的漏洞 (T1068),即 Windows COM 權限提升漏洞 (CVE-2017-0213)。憑借 Mimikatz 提供的更高權限和憑據,他們已準備好繼續攻擊。
幾年前披露的多個漏洞的使用提醒人們及時軟件更新 (M1051) 和補丁管理的重要性。可以開發威脅情報程序來幫助確定哪些軟件漏洞和 N 天漏洞可能對組織的影響最大 (M1019)。虛擬補丁程序可以增強現有補丁管理流程,以進一步防御已知和未知漏洞。應用程序隔離和沙箱也可用于緩解利用未修補漏洞 (M1048) 的警告的影響。最終,組織需要良好的應用程序安全性來尋找和檢測開發行為。
Mimikatz 是一種流行的工具,用于從內存中轉儲明文密碼、哈希、Kerberos 通知和其他敏感數據的憑證。它還可用于通過哈希傳遞攻擊 (T1550) 訪問網絡內的其他系統。但是,Mimikatz 沒有主要的合法用途可以解釋管理員在他們的系統上使用它,所以在大多數情況下,應該將此工具視為可疑的工具。
可以通過嚴格的帳戶管理和 Active Directory 審核策略來建立緩解措施。強制執行最低權限管理模型 (M1018) 并限制跨系統的憑證重疊 (M1026) 有助于進一步防止憑證受到攻擊,從而實現橫向移動。
完成攻擊
攻擊者利用系統中已有的工具橫向移動并擴大入侵(T1570),他們使用 PsExec 啟動 taskkill 來停止可能提醒 X 安全團隊的服務,并停止備份服務 (T1489)。AdFind 為他們提供有關活動目錄設置的重要信息,他們使用這些信息來繪制 X 的基礎架構并找到其他感興趣的目標 (T1018)。隨著時間的推移,他們在 X 的整個環境中移動,包括外圍設備 (T1120) 和共享驅動器 (T1135),識別所有有價值的數據 (T1083),然后使用 PowerShell 命令,他們戰略性地將 Cobalt Strike 信標投放到對其重要的特定系統中邊走邊攻擊。
網絡入侵檢測和防御系統 (M1031) 對于緩解網絡級別初始訪問后的攻擊者活動至關重要。這些系統可以幫助安全團隊發現他們已被攻破,并通過網絡、云和終端/服務器層的傳感器跟蹤攻擊者的活動,網絡分段和微分段有助于抑制橫向移動并支持安全監控。
自動滲漏
攻擊者通過在 X 的環境 (T1041) 中設置的 Cobalt Strike 信標建立的現有 C&C 通道使用自動滲漏 (T1020)。為了避免觸發網絡數據傳輸閾值警報(T1030),在固定大小的chuck中使用文件傳輸協議(FTP)竊取敏感數據。對于任何大文件,他們使用 mega.nz 通過合法 Web 服務 (T1567) 回調數據。
為了防止數據泄露,可以限制基于 Web 的內容 (M1021) 并過濾網絡流量 (M1037)。任何可疑的 DNS、HTTP 和 HTTPS 連接都應受到監控或完全阻止。殺毒軟件也應該與機器學習插件保持同步。根據經驗,阻止任何流向 Cobalt Strike C&C 服務器的流量很重要,但是由于 Cobalt Strike 旨在規避安全措施,因此需要采用多層方法才能使其有效。
執行勒索軟件
幾周后,攻擊者對他們已經識別出 X 環境中所有有價值的數據感到滿意。他們等到周末以幫助確保他們不被發現,然后他們在 X 的網絡上部署了 Nefilim 勒索軟件。贖金通知已準備好解密,然后 Nefilim 導入 RSA-2048 公鑰并使其準備用于加密。Nefilim 負載是使用命令行參數 (T1059) 執行的,該參數包含目錄的完整路徑,其中文件被標識為要加密。X 的所有邏輯驅動器都經過加密,并為每個驅動器寫入一個名為“NEFILIM-DECRYPT.txt”的解密贖金通知。
在開始加密文件之前,Nefilim 檢查它們是否匹配其文件和目錄名稱的排除列表。確認后,Nefilim 對文件內容進行加密(T1486),然后將原始內容替換為加密版本。之后它會從內存中刪除加密密鑰,并在 3 秒后自行刪除,刪除其路徑。
X 公司的首席信息安全官在度過一個輕松的周末后,發現他的公司已經成為 Nefilim 勒索軟件攻擊的受害者。
如何預防?
在評估你對勒索軟件的防護時,你應該首先審核你檢測惡意軟件的能力。這種策略用于試圖抑制組織的恢復能力,所使用的技術是潛在勒索軟件攻擊的最佳指標。Nefilim 勒索軟件二進制文件很簡單,因此一般的勒索軟件緩解技術可以防范該勒索軟件家族。
攻擊者在攻擊的整個生命周期內停止了數周的服務 (T1489),這些操作可以通過權限限制 (M1022 & M1024) 和網絡分段 (M1030) 技術來阻止。通過將運行入侵檢測、分析和響應系統的網絡與生產環境分離,可以降低攻擊者看到和干擾關鍵響應功能的風險。通過限制注冊表和目錄權限,可以保護關鍵服務免受干擾或被攻擊者禁用。歸根結底,安全帳戶管理 (M1018) 對于確保只有授權管理員才能訪問關鍵服務非常重要。
組織的安全團隊還可以考慮針對成功的勒索軟件攻擊等情況制定災難恢復計劃。這些計劃還可以包含主動流程,例如例行數據備份 (M1053) 和測試可用于從攻擊中恢復的備份驅動器的安全性。這些備份應安全地存儲在系統之外,并在云環境中啟用版本控制以制作備份副本。然而,這并不能阻止被盜數據的泄露,因此預防是防止勒索軟件攻擊的關鍵。
由于大多數組織使用多個獨立的安全層,威脅信息被隔離起來,有無數不相關的警報。這導致缺乏可見性,使得及時連接高級勒索軟件攻擊的痕跡以防止它變得極其困難。為了保持領先于現代攻擊技術,一個能夠查看整個環境、關聯可疑活動并通過高質量警報檢測關鍵威脅的解決方案是必不可少的。
