【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析

admin 2022年4月19日23:13:33程序逆向评论6 views2196字阅读7分19秒阅读模式

家族简介


在2020年期间,勒索软件攻击的数量急剧增加。作为一个新兴的勒索软件家族,Nefilim勒索软件出现于2020年3月,与另一个勒索软件家族NEMTY共享一部分代码,NEMTY和Nefilim/Nephilim三者背后的确切关系尚不清楚。NEMTY于2019年8月作为一个公共项目推出,之后转为私有。目前的数据表明,在这两个家族背后的不是同一个人,更有可能的是,Nephilim背后的人以某种方式从NEMTY那里“获得”了必要的代码而自立门户。Nefilim和NEMTY的两个主要区别是支付模式以及缺少RaaS操作,Nefilim指示受害者通过电子邮件与攻击者联系,而不是将他们引导到基于tor的暗网支付站点。后续Nefilim似乎变化成了Nephilim勒索软件,两者在技术上是相似的,但主要区别在于扩展名和加密文件存在一定的不同。然而,也有情报表明,NEMTY已经继续并开启了一个新的NEMTY Revenue分支版本。在此之前,NEMTY的幕后主使宣布他们将把威胁私有化(不再存在公开访问的RaaS服务)。


从技术上讲,Nephilim与其他著名的勒索软件家族没有什么不同。目前主要的传播方法是通过垃圾邮件、P2P文件共享、免费软件、恶意网站、Torrent网站以及易受攻击的RDP平台等各种方式传播。一旦攻击者入侵了系统环境,他们就会继续建立持久性,在可能的情况下查找和窃取其他凭证,然后将勒索软件的payload传播给潜在目标。


正如大多数流行勒索软件家族一样,Nefilim勒索软件同样也推出了自己的数据泄露站点。威胁说如果受害者没有支付赎金,就将受害者的数据公开,目前全球已经存在19个入侵后遭到数据泄露的机构,如下。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


与其他勒索软件威胁一样,Nefilim使用AES-128对目标系统上的文件进行加密,并将NEFILIM,NEPHILIM,MERIN,TRAPGET,MEFILIN,TELEGRAM,SIGARETA或OFFWHITE扩展名添加到加密文件中。它使用嵌入在勒索软件可执行文件中的RSA-2048公钥来加密AES加密密钥,还会将包含赎金记录的文件添加到根目录,例如C:NEFILIM-DECRYPT.txt。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析



样本分析


深信服安全团队捕获了该样本并对其进行了分析,该样本的加密后缀为MERIN(例如autoseptember.png.MERIN),执行后首先会判断命令行参数决定后续的不同分支执行,文件加密采用CNG加密文件,根据每个可用驱动器开启一个线程。之后写入勒索信,路径"C:MERIN-DECRYPTING.txt"。


加密过程排除的后缀名:

.exe、.log、.cab、.cmd、.bat、.com、.cpl、.ini、.dll、.url、.ttf、.mp3、.pif、.mp4、.msi、.lnk


排除的目录:

windows、$recycle.bin、all users、.rsa、programdata、appdata、program files、program files (x86)


加密过程,如下先写入勒索信。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


加密之前产生的0x10长度的随机数据,如下。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


随机数据被内置公钥加密的结果

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


加密第二段随机数,同样是0x10大小(16个字节)。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


随机数据被内置公钥加密的结果

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


写入被加密的文件中,如下。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


写入已被加密的随机数(大小0x100)至文件中

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


写入字符串"MERIN",作为特定标记。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


读取文件内容,便于后续加密文件。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


采用自实现的AES算法,如下是AES的S盒。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


密钥布局

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


经过十轮,分块加密,每次16个字节,AES-128-ECB模式加密,加密完成写入原文件。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


修改后缀名,如下。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析


最终的文件加密完后的数据布局

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析



关于解密


由于产生的随机密钥被内置RSA公钥加密,暂时无法通过非正常手段解密。



威胁情报


c8d6b57a009647ec591f58b65b93a769

[email protected]

[email protected]

[email protected]



深信服安全产品解决方案


1.深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品,已集成了SAVE人工智能引擎,均能有效检测防御此恶意软件,已经部署相关产品的用户可以进行安全扫描,检测清除此恶意软件,如图所示:

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析

2. 深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀:

64位系统下载链接

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3. 深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;

4. 深信服安全产品继承深信服SAVE安全智能检测引擎,拥有对未知病毒的强大泛化检测能力,能够提前精准防御未知病毒;

5. 深信服推出安全运营服务,通过以“人机共智”的服务模式提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。 


原文始发于微信公众号(深信服千里目安全实验室):【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月19日23:13:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析 http://cn-sec.com/archives/785044.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: