臭名昭著的Nefilim勒索软件分析

点击上方蓝字关注我们

初始访问

Nefilim勒索软件会暴力破解RDP远程桌面协议进行分发，并利用Citrix网关设备中的已知漏洞实现初始访问。在目标系统中建立初始立足点后，攻击者便会释放Nefilim勒索软件并执行。

横向移动

攻击者使用PsExec等工具在受害者的网络中远程执行命令，并使用Mimikatz、LaZagne和NetPass等工具收集凭证。攻击者会利用窃取的凭证在受害网络中进行横向移动，试图发现更多敏感数据，执行的某些命令如下所示：

Start copy kill.bat destinationipc$windowstemp

Start psexec.exe destinationip -u domainusername -p password -d -h -r mstdc -s -accepteula -nobanner c:windowsteampKill.bat

Start psexec.exe -accepteula destinationip -u domainusername -p password reg add HKLMsoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /t REG_DWORD /d 0 /F

WMIC /node: destinationip /username:”domainusername” /password:”password” process CALL CREATE “cmd.exe /c copy sourceipc$windowstemp C:WINDOWSTEMPkill.bat"

WMIC /node: destinationip /username:”domainusername” /password:”password” process CALL CREATE “cmd.exe /c C:WINDOWSTEMPkill.bat"

如下图所示，攻击者使用使用bat脚本停止服务和杀死进程：

图1. 停止的服务

图2. 终止的进程

数据窃取

Nefilim会将服务器/共享目录中的数据复制本地目录下，并使用释放的7zip二进制文件进行压缩。它还会释放MegaSync并安装，以窃取数据。

勒索软件执行

Nefilim恶意软件使用AES-128加密锁定文件，赎金是通过电子邮件支付的。加密后，它将释放名为“NEFILIM-DECRYPT.txt”的勒索说明文件。加密后文件的扩展名会被修改为.NEFILIM，且文件末尾被附加AES加密密钥。之后，将使用勒索软件可执行文件中的嵌入的RSA-2048公钥对其进行加密。除了加密的AES密钥外，勒索软件在所有加密文件中添加 “NEFILIM”字符串作为标记。

该勒索软件还调用IsDebuggerPresent函数进行反调试，该函数会检查用户模式调试器是否正在调试该进程。它还利用GetTickCount/QueryPerformanceCounter API获取系统重启时间与当前时间的相差毫秒数。

图3. 反调试API

成功感染后，Nefilim会调用ShellExecute API以将自身从目标系统中删除。

"C:WindowsSystem32cmd.exe" /c timeout /t 3 /nobreak && del "C:UsersadminDownload{ransomware_filename}.exe" /s /f /q

图4. 删除自身

文件哈希：

8be1c54a1a4d07c84b7454e789a26f04a30ca09933b41475423167e232abea2b
b8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e
3080b45bab3f804a297ec6d8f407ae762782fa092164f8ed4e106b1ee7e24953
7de8ca88e240fb905fc2e8fd5db6c5af82d8e21556f0ae36d055f623128c3377
b227fa0485e34511627a8a4a7d3f1abb6231517be62d022916273b7a51b80a17
3bac058dbea51f52ce154fed0325fd835f35c1cd521462ce048b41c9b099e1e5
353ee5805bc5c7a98fb5d522b15743055484dc47144535628d102a4098532cd5
5ab834f599c6ad35fcd0a168d93c52c399c6de7d1c20f33e25cb1fdb25aec9c6
52e25bdd600695cfed0d4ee3aca4f121bfebf0de889593e6ba06282845cf39ea
35a0bced28fd345f3ebfb37b6f9a20cc3ab36ab168e079498f3adb25b41e156f
7a73032ece59af3316c4a64490344ee111e4cb06aaf00b4a96c10adfdd655599
08c7dfde13ade4b13350ae290616d7c2f4a87cbeac9a3886e90a175ee40fb641
D4492a9eb36f87a9b3156b59052ebaf10e264d5d1ce4c015a6b0d205614e58e3
B8066b7ec376bc5928d78693d236dbf47414571df05f818a43fb5f52136e8f2e
fcc2921020690a58c60eba35df885e575669e9803212f7791d7e1956f9bf8020

END

本文始发于微信公众号（SecTr安全团队）：臭名昭著的Nefilim勒索软件分析