安全企业趋势科技今日发布一份关于“Nefilim”勒索病毒集团的研究报告,Nefilim专门攻击营收10亿美元以上的企业,是勒索获利中位数最高的勒索病毒集团。
趋势科技网络犯罪研究总监Bob McArdle表示,最新勒索病毒攻击运用了高端持续性渗透攻击(APT)集团长期磨练出来的方法,因此非常具针对性、适应性及隐秘性。像Nefilim这样的集团会借由窃取资料与锁住企业关键系统来勒索一些获利顶尖的全球企业。
报告显示,Nefilim的攻击通常包含以下几个步骤。首先是突破防线,利用登录凭证强度上的弱点,攻击暴露在外的RDP服务,或对外的HTTP服务。而一旦潜入企业后,就利用合法工具在网络内部横向移动,寻找高价值系统,然后窃取资料并将资料加密。
接着,Nefilim会利用Cobalt Strike以及一些可穿越企业防火墙的网络通信协议(如HTTP、HTTPS、DNS)创建回传及掌控机制;同时会采用防弹主机托管服务来架设幕后操纵(C&C)服务器。
最后,Nefilim在成功入侵之后,便会窃取重要资料,并威胁将资料公布至TOR网络的网站,以此勒索受害者。Nefilim去年大概发布2TB的资料;而当窃取资料累计到一定数量,黑客就会手动启动勒索病毒程序并加密文件。
趋势科技先前就曾提出警告,一些合法的工具将广泛遭到黑客利用,像是AdFind、Cobalt Strike、Mimikatz、Process Hacker、PsExec以及MegaSync,这些工具不仅将成为勒索病毒攻击的帮凶,更会让黑客不容易被发现。而这对于通常各自负责不同环境的SOC分析师来说更是个挑战,由于看到的事件记录不同,很难掌握威胁的全貌并发现攻击的存在。
报告强调,最新勒索病毒家族的犯案手法,让原本就已疲于奔命的安全运营中心(SOC)和IT安全团队,更难侦测及回应这类威胁;这不仅影响到企业的获利能力和商誉,更影响到SOC团队日常运维。
(首图来源:趋势科技)