2019 年八月 Nemty 展開加盟計畫後,在 2020 年三月首度發現 Nefilim 勒索病毒。
由於 Nemty 與首支 Nefilim 勒索病毒在編碼結構、感染途徑與威脅參與者有著極高的相似度,據信 Nefilim 是 Nemty 的新變種,而 Jsworm 變得不再那麼活耀。
能力
入侵初期
- NEFILIM 背後的威脅參與者僱傭了各種附屬組織進行初期入侵,他們為每個附屬組織提供 70-30 的份額。大多數附屬組織使用破解的 RDP 進入網路,而有些則利用一些已知的漏洞。
發現
- 根據觀察或報告內容:
- 利用 Cirtrix 漏洞 (CVE-2019-19781)
- 利用有效帳戶、不安全和透過暴力破解的遠端桌面連線,然後刪除防毒軟體與執行滲透工具,最後為 Nefilim。
橫向擴散、探勘與規避偵測
- 攻擊者利用 PSExec 或 WMI 進行橫向移動、刪除和執行其他元件以及勒索軟體。觀察發現其會使用批次檔與利用第三方工具,如 PCHunter、ProcessHacker 和 RevoUninstaller 終止某些程序和服務。它還使用 AdFind、BloodHound 或 SMBTool 來識別網域和網域中的裝置。
竊取身份驗證資料
- 觀察發現其會使用第三方工具,如 Mimikatz、Lazagne 和 Nirsoft 的網路密碼查看器 (NetPass)。
竊取資料
- 觀察發現攻擊會利用 MegaSync 來將竊取的資料透過 7zip 傳送出去。
影響
- 勒索軟體負載本身沒有太大變化,因為在執行後它繼續執行加密程序
感染途徑
目前感染流程基於與 Nefilim 相關的其他變種/事件的可用數據和研究:
檔案信譽
Detection/Policy/Rules | Pattern Branch/Version | Release Date / Last Update |
---|---|---|
Ransom.Win32.NEFILIM.A | 15.740.01 | March 12, 2020 |
Ransom.Win32.NEFILIM.C | 15.751.00 | March 18, 2020 |
Ransom.Win32.NEFILIM.AC | 16.480.00 | January 16, 2021 |
Ransom.Win32.NEFILIM.D | 15.753.00 | March 19, 2020 |
Ransom.Win32.NEFILIM.L | 16.250.00 | September 26, 2020 |
Ransom.Win32.NEFILIM.G | 15.847.00 | May 4, 2020 |
Ransom.Win32.NEFILIM.E | 15.852.00 | April 22, 2020 |
Ransom.Win32.NEFILIM.A | 15.739.00 | March 12, 2020 |
機器學習
Detection | Pattern Branch/Version |
---|---|
Troj.Win32.TRX.XXPE50FFF034 | In-the-Cloud |
Ransom.Win32.TRX.XXPE50FFF039E0002 | In-the-Cloud |
Troj.Win32.TRX.XXPE50FFF035 | In-the-Cloud |
Troj.Win32.TRX.XXPE50FFF041 | In-the-Cloud |
行為監控
Pattern Branch/Version | Release Date |
---|---|
Malware Behavior Blocking | 2020 |
Unauthorized Encryption and Modification | 2020 |
解決方案
Trend Micro Solution | MAJOR PRODUCTS | LATEST VERSIONS | VIRUS PATTERN | ANTISPAM PATTERN | NETWORK PATTERN | BEHAVIOR MONITORING | PREDICTIVE MACHINE LEARNING | WEB REPUTATION |
---|---|---|---|---|---|---|---|---|
端點防護 | Apex One | 2019 | Update pattern via web console | Not Applicable | Update pattern via web console | Enable Behavior Monitoring and update pattern via web console | Enable Predictive Machine Learning | Enable Web Reputation Service and update pattern via web console |
OfficeScan | XG (12.0) | Not Applicable | ||||||
Worry-Free Business Security | Standard (10.0) | |||||||
Advanced (10.0) | Update pattern via web console | |||||||
混合雲防護 | Deep Security | 12 | Update pattern via web console | Not Applicable | Update pattern via web console | Enable Behavior Monitoring and update pattern via web console | Enable Predictive Machine Learning | Enable Web Reputation Service and update pattern via web console |
電子郵件與閘道防護 | Deep Discovery Email Inspector | 3.5 | Update pattern via web console | Update pattern via web console | Update pattern via web console | Not Applicable | Not Applicable | Enable Web Reputation Service and update pattern via web console |
InterScan Messaging Security | 9.1 | Not Applicable | ||||||
InterScan Web Security | 6.5 | |||||||
ScanMail for Microsoft Exchange | 14 | |||||||
網路防護 | Deep Discovery Inspector | 5.5 | Update pattern via web console | Not Applicable | Update pattern via web console | Not Applicable | Not Applicable | Enable Web Reputation Service and update pattern via web console |
建議
確保維持最新病毒碼以偵測 Nefilim 和其變種的勒索病毒。請參考 如何使用趨勢科技產品保護您的網絡。
確保啟用勒索防毒防護建議設定。請參考 趨勢科技產品的勒索軟體防護建議設定。
您也可以參考如何向趨勢科技提交可疑樣本.
若需要協助,請聯繫趨勢科技客服。
威脅報告