【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析

2022年4月19日23:13:33评论66 views字数 2196阅读7分19秒阅读模式

| 家族简介

在2020年期间，勒索软件攻击的数量急剧增加。作为一个新兴的勒索软件家族，Nefilim勒索软件出现于2020年3月，与另一个勒索软件家族NEMTY共享一部分代码，NEMTY和Nefilim/Nephilim三者背后的确切关系尚不清楚。NEMTY于2019年8月作为一个公共项目推出，之后转为私有。目前的数据表明，在这两个家族背后的不是同一个人，更有可能的是，Nephilim背后的人以某种方式从NEMTY那里“获得”了必要的代码而自立门户。Nefilim和NEMTY的两个主要区别是支付模式以及缺少RaaS操作，Nefilim指示受害者通过电子邮件与攻击者联系，而不是将他们引导到基于tor的暗网支付站点。后续Nefilim似乎变化成了Nephilim勒索软件，两者在技术上是相似的，但主要区别在于扩展名和加密文件存在一定的不同。然而，也有情报表明，NEMTY已经继续并开启了一个新的NEMTY Revenue分支版本。在此之前，NEMTY的幕后主使宣布他们将把威胁私有化（不再存在公开访问的RaaS服务）。

从技术上讲，Nephilim与其他著名的勒索软件家族没有什么不同。目前主要的传播方法是通过垃圾邮件、P2P文件共享、免费软件、恶意网站、Torrent网站以及易受攻击的RDP平台等各种方式传播。一旦攻击者入侵了系统环境，他们就会继续建立持久性，在可能的情况下查找和窃取其他凭证，然后将勒索软件的payload传播给潜在目标。

正如大多数流行勒索软件家族一样，Nefilim勒索软件同样也推出了自己的数据泄露站点。威胁说如果受害者没有支付赎金，就将受害者的数据公开，目前全球已经存在19个入侵后遭到数据泄露的机构，如下。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析

与其他勒索软件威胁一样，Nefilim使用AES-128对目标系统上的文件进行加密，并将NEFILIM，NEPHILIM，MERIN，TRAPGET，MEFILIN，TELEGRAM，SIGARETA或OFFWHITE扩展名添加到加密文件中。它使用嵌入在勒索软件可执行文件中的RSA-2048公钥来加密AES加密密钥，还会将包含赎金记录的文件添加到根目录，例如C:NEFILIM-DECRYPT.txt。

【高级持续性威胁追踪】Nemty继任者Nefilim勒索软件分析

| 样本分析

深信服安全团队捕获了该样本并对其进行了分析，该样本的加密后缀为MERIN（例如autoseptember.png.MERIN），执行后首先会判断命令行参数决定后续的不同分支执行，文件加密采用CNG加密文件，根据每个可用驱动器开启一个线程。之后写入勒索信，路径"C:MERIN-DECRYPTING.txt"。

加密过程排除的后缀名：

.exe、.log、.cab、.cmd、.bat、.com、.cpl、.ini、.dll、.url、.ttf、.mp3、.pif、.mp4、.msi、.lnk