自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Nefilim勒索軟件分析

安全
2020年8月Nefilim勒索軟件運營商入侵了SPIE集團,并且透露他們竊取了公司的敏感數(shù)據(jù),包括公司的電信服務合同、法律文件、授權書文件等等。

[[384515]]

2020年8月Nefilim勒索軟件運營商入侵了SPIE集團,并且透露他們竊取了公司的敏感數(shù)據(jù),包括公司的電信服務合同、法律文件、授權書文件等等。

2020年12月美國家電跨國公司Whirlpool受到了Nefilim勒索軟件的攻擊,黑客要求公司支付贖金,否則將泄漏竊取的數(shù)據(jù)。與Whirlpool公司高管談判失敗后,黑客泄漏了從 Whirlpool 竊取的數(shù)據(jù),其中包括員工福利、住宿要求、醫(yī)療信息及其他相關信息。

Nefilim以其雙重勒索功能和2020年發(fā)起的幾個著名攻擊而一舉成名。Nefilim是著名的勒索軟件變種之一,它們在其活動中使用了雙重勒索手段。 Nefilim最初于2020年3月被發(fā)現(xiàn),從一開始,它的攻擊策略便是威脅要公布受害者的被盜數(shù)據(jù),迫使他們支付贖金。除了使用這種策略外,奈非利姆的另一個顯著特征是與奈米蒂的相似之處。實際上,它被認為是較早的勒索軟件的演進版本。

初始訪問的細節(jié)分析

初始訪問時,Nefilim背后的攻擊者利用各種附屬機構來傳播其惡意軟件,這些附屬機構會使用各種方法將惡意程序傳播出去。根據(jù)以前的攻擊分析,Nefilim很大程度上是通過暴露的RDP惡意注入到系統(tǒng)。一些附屬機構還使用其他已知的漏洞進行初始訪問,這已經得到了初始驗證,從這些初始分析中我們發(fā)現(xiàn)了攻擊者使用Citrix漏洞(CVE-2019-19781)進入系統(tǒng)。

2019年年底,Citrix ADC和Citrix Gateway被曝出存在遠程代碼執(zhí)行的高危漏洞CVE-2019-19781,該漏洞最吸引人的地方在于,未授權的攻擊者可以利用它入侵控制Citrix設備,并實現(xiàn)進一步的內網資源訪問獲取。

人們還看到Nefilim使用party工具收集包括Mimikatz、LaZagne和NirSoft的NetPass在內的證書,被盜的憑證被用來攻擊服務器等價值較高的設備。

一旦進入受害者系統(tǒng),勒索軟件就開始刪除并執(zhí)行其組件,如殺毒軟件和滲透工具以及Nefilim本身。

網絡上的橫向運動

攻擊者利用幾種合法的工具進行橫向移動,例如,它使用PsExec或Windows Management Instrumentation (WMI)進行橫向移動、刪除和執(zhí)行包括勒索軟件本身在內的其他組件。據(jù)觀察,Nefilim使用批處理文件來終止某些流程和服務。它甚至使用PC Hunter,Process Hacker和Revo Uninstaller等第三方工具來終止與殺毒軟件相關的進程、服務和應用程序,它還使用了AdFind、BloodHound或SMBTool來識別連接到域的活動目錄或設備。

盜取數(shù)據(jù)的細節(jié)

最近的勒索軟件變種的一個顯著特點是它們的數(shù)據(jù)盜取能力變得越來越強。對Nefilim來說,可以觀察到從服務器或共享目錄復制數(shù)據(jù)到本地目錄,并使用7-Zip對這些數(shù)據(jù)進行歸檔,然后它使用MEGAsync來竊取這些數(shù)據(jù)。

緩解措施

研究人員發(fā)現(xiàn)對于類似于Nefilim的攻擊,它們在最初的訪問和橫向移動期間花費的時間成本很大。然而,一旦橫向移動開始,攻擊者就會迅速行動。他們會優(yōu)先在主機之間移動和竊取數(shù)據(jù)。因此,企業(yè)可以考慮限制在橫向移動階段可以利用的計算機數(shù)量。這涉及到一些解決方案,如盡可能利用雙因素身份驗證(2FA)、實現(xiàn)應用程序安全列表和實施最低權限等安全性策略。

至于如何防御系統(tǒng)免受Nefilim威脅,最佳做法仍然是防御。最好是在防御上工作,以防止橫向移動類似的攻擊。組織應該考慮使用基于canary文件(Canary文件類型能夠快速識別出感染的發(fā)生,有助于抑制勒索軟件)的監(jiān)控、加密監(jiān)視和進程終止。其他需要的最佳安全措施包括:

1.避免打開未經驗證的電子郵件或點擊它們嵌入的鏈接,因為這些可能會啟動勒索軟件的安裝進程。

2.使用3-2-1規(guī)則備份你的重要文件。3份備份除了原有的副本,你應該始終讓你的重要數(shù)據(jù)有兩個額外的備份副本,無論是存儲在服務器,網絡附加存儲,硬盤驅動器,在云中或其他地方。這將確保不會發(fā)生一次單一的事件而毀掉所有重要數(shù)據(jù)的情況。2種格式:3-2-1規(guī)則的第二定律指出,你應該將數(shù)據(jù)的副本以至少兩種不同的媒介或存儲類型保存。這可能包括一個內部驅動器,以及外部媒介,如磁盤、磁帶、閃存、以及網絡存儲或云存儲。1份異地備份:將至少一份備份存儲在異地是保證數(shù)據(jù)免于受到類似火災,水災或盜竊等物理災難損害的必要措施。當您已經對您重要的數(shù)據(jù)創(chuàng)建了多個副本之后,保存初始原件的完整性就顯得異常重要,否則有該原件所備份的每個副本都會有相同的缺陷。

3.定期更新軟件、程序和應用程序,以確保您的應用程序是最新的,并具有針對新漏洞的最新保護措施。

 

 

本文翻譯自:https://www.trendmicro.com/en_us/research/21/b/nefilim-ransomware.html如若轉載,請注明原文地址。

 

責任編輯:姜華 來源: 嘶吼網
相關推薦

2021-03-04 11:02:07

勒索軟件Nefilim幽靈賬戶

2020-12-02 13:28:56

勒索軟件漏洞網絡攻擊

2021-06-01 11:01:08

勒索軟件發(fā)展分析反勒索軟件日

2020-04-15 15:28:24

Fireeye勒索軟件惡意軟件

2017-02-27 16:57:58

2018-01-04 01:17:30

2022-01-20 15:01:16

網絡安全勒索軟件技術

2022-04-02 06:10:02

勒索軟件PSRansom安全工具

2021-05-19 10:13:17

勒索軟件勒索贖金網絡攻擊

2021-05-21 10:10:26

勒索軟件勒索贖金網絡攻擊

2020-10-22 10:08:04

Phobos勒索軟件

2021-10-16 07:15:40

勒索軟件攻擊數(shù)據(jù)泄露

2021-08-06 12:06:06

勒索軟件

2019-04-09 09:06:36

2022-02-25 09:58:37

勒索軟件贖金

2023-03-02 07:29:35

2020-10-22 10:58:23

Ryuk 勒索

2019-12-26 13:29:50

勒索軟件攻擊黑客

2021-09-15 10:04:06

勒索軟件攻擊數(shù)據(jù)泄露

2021-07-30 15:28:36

勒索軟件攻擊數(shù)據(jù)泄露
點贊
收藏

51CTO技術棧公眾號