《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 俄烏沖突引發(fā)網(wǎng)絡(luò)武器庫泄露:Conti泄露數(shù)據(jù)全面分析

俄烏沖突引發(fā)網(wǎng)絡(luò)武器庫泄露:Conti泄露數(shù)據(jù)全面分析

2022-03-18
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 武器庫泄露 Conti

  俄烏沖突引發(fā)民間網(wǎng)絡(luò)安全能力者的分裂,,Conti勒索軟件選擇站隊俄羅斯,,引發(fā)一名烏克蘭安全研究人員的憤怒,開始瘋狂地公開泄露Conti內(nèi)部數(shù)據(jù);

  據(jù)分析,,泄露數(shù)據(jù)包括Conti勒索軟件代碼,、TrickBot木馬代碼,、Conti培訓(xùn)材料,、Conti/TrickBot內(nèi)部交流的各種攻擊技巧等,已然是一個小型網(wǎng)絡(luò)武器庫,;

  這些泄露數(shù)據(jù)可謂雙刃劍,,安全研究人員可以了解Conti的策略、代碼開發(fā),、貨幣化方式,、潛在成員身份等信息,采取更可靠的防御手段,;惡意軟件開發(fā)者也可以利用這批數(shù)據(jù),,指導(dǎo)開發(fā)更多類似TrickBot的惡意軟件。

  安全內(nèi)參此前有分析,,俄烏沖突引發(fā)了民間網(wǎng)絡(luò)安全能力者的分裂,,從烏克蘭地下黑客,、俄羅斯民間“網(wǎng)絡(luò)衛(wèi)士”到勒索軟件組織、國際黑客組織,,多方勢力紛紛表態(tài)和行動,,為此次沖突增加了更多復(fù)雜性。

  其中,,Conti勒索軟件選擇站在俄羅斯一方,,這引發(fā)了一名烏克蘭安全研究人員的憤怒。

  據(jù)安全內(nèi)參追蹤了解,,上周日(2月27日),,這名研究員首次公開泄露Conti團(tuán)伙內(nèi)部超6萬條聊天消息(2021.1-2022.2),周一(3月1日)又公開泄露了Conti團(tuán)伙的超10萬條聊天消息(2020.6該團(tuán)伙首次公開出手-2020.11),、泄露賬號密碼數(shù)據(jù)庫,、Conti源代碼等。

  安全廠商CyberArk對這批泄露數(shù)據(jù)(代號:ContiLeaks)進(jìn)行了分析,,讓我們一起看看里邊都有什么吧。

  第二次泄露都有些什么,?

  ContiLeaks公開的這批文件可謂新鮮出爐,,不少文件甚至來自3月1日。

  ContiLeaks截至3月1日的數(shù)據(jù)轉(zhuǎn)儲內(nèi)容,。

  下面,,我們就對泄露數(shù)據(jù)逐個分析,看看它們在研究人員手中能發(fā)揮哪些作用,。

  聊天記錄

  此次泄露的聊天內(nèi)容主要是Conti團(tuán)伙內(nèi)部的交流信息,,時間跨度為2020年6月-11月。分析發(fā)現(xiàn),,其中一位用戶“經(jīng)常向其他全體用戶發(fā)送垃圾郵件”,。

  研究人員可以從聊天記錄收集Conti團(tuán)伙使用的用戶名,“一起揪出Conti團(tuán)伙的所有成員,?!?/p>

  管理面板源代碼

  快速瀏覽泄露內(nèi)容后,研究人員們推測Conti團(tuán)伙使用的大部分代碼來自開源軟件,。比如yii2,、Kohana兩個PHP框架,“(似乎)被用于構(gòu)建管理面板” ,。

  “其中大部分代碼使用PHP編寫,,由Composer負(fù)責(zé)管理,唯一例外的是一個用Go編寫的工具,?!边@些代碼庫還包含相應(yīng)的配置文件,,其中列出了本地數(shù)據(jù)庫的用戶名和密碼,以及一些公共IP地址,。

  Pony惡意軟件竊取的憑證

  Conti Pony Leak 2016.7z文件主要是泄露電子郵件賬號密碼庫,,來自gmail.com、mail.ru,、yahoo.com等郵件服務(wù)商,。很明顯,這是由Pony憑證竊取惡意軟件從各種來源盜竊來的,。Pony的歷史至少可以追溯到2018年,,是詐騙分子們最喜愛的憑證盜竊軟件之一。

  壓縮包內(nèi)還包含來自FTP/RDP與SSH服務(wù),、以及其他多個不同網(wǎng)站的憑證,。

  TTP

  Conti Rocket Chat Leaks.7z中包含Conti團(tuán)伙成員關(guān)于攻擊目標(biāo)、攻擊手段的聊天記錄,。他們會討論攻擊目標(biāo),,并運用Cobalt Strike實施攻擊。

  Conti團(tuán)伙成員們在交談中提到過以下攻擊技術(shù):

  Active Directory枚舉

  通過sqlcmd進(jìn)行SQL數(shù)據(jù)庫枚舉

  如何訪問Shadow Protect SPX(StorageCraft)備份

  如何創(chuàng)建NTDS轉(zhuǎn)儲與vssadmin

  如何打開新RDP端口1350

  涉及以下工具:

  Cobalt Strike

  Metasploit

  PowerView

  ShareFinder

  AnyDesk

  Mimikatz

  Conti Locker v2源代碼

  與可能無效的解密器

  此次泄漏文件還包含Conti Locker v2源代碼,。這部分代碼在一個受密碼保護(hù)的zip文件中,,解開之后再無其他保護(hù)措施。

  除了Conti勒索軟件的v2源代碼外,,還有一個解密器源代碼,。但有推特網(wǎng)友稱,這款解密器已經(jīng)沒法使用,。

  Marcus證實,,“我聽說解密器不是最新版本,也沒法正常使用,?!?/p>

  他猜測,泄露的解密器可能是Conti提供給已支付贖金受害者的版本,。

  解密器的工作原理有點像對受密碼保護(hù)的文件進(jìn)行解壓,,只是整個過程更復(fù)雜、具體設(shè)計因不同勒索軟件家族而異,。

  Marcus還提到,,“有些解密器內(nèi)置在獨立二進(jìn)制文件中,有些則可以遠(yuǎn)程啟用,。它們通常會內(nèi)置密鑰,。”

  Conti團(tuán)伙培訓(xùn)材料

  此次泄露文件還有培訓(xùn)材料,,有俄語在線課程視頻,、也有以下TTP清單的具體操作方法:

  破解/Cracking

  Metasploit

  網(wǎng)絡(luò)滲透

  Cobalt Strike

  使用PowerShell進(jìn)行滲透

  Windows紅隊攻擊

  WMI攻擊(與防御)

  SQL Server

  Active Directory

  逆向工程

  Conti團(tuán)伙的俄語培訓(xùn)材料,。

  TrickBot泄露

  另一個泄露文件是TrickBot木馬/惡意軟件論壇的聊天內(nèi)容,內(nèi)容涵蓋2019-2021年的大量消息,。

  里邊大多數(shù)內(nèi)容是在討論如何實現(xiàn)網(wǎng)絡(luò)橫向移動,、如何使用某些工具,以及一些關(guān)于TrickBot和Conti團(tuán)伙的TTP信息,。

  例如,,在一封帖子中,某位成員分享了他的webshell,,并表示“這是我用過的最輕量級,、最耐用的webshell”。

  其中還包含2021年7月上旬Conti團(tuán)伙利用Zerologon等漏洞的證據(jù),。這并不奇怪,,畢竟從2020年9月開始,GitHub上先后出現(xiàn)過4個針對此漏洞的PoC,,以及大量漏洞技術(shù)細(xì)節(jié),。

  其他泄露內(nèi)容還包括用Erlang編寫的服務(wù)器端組件:trickbot-command-dispatcher-backend、trickbot-data-collector-backend,,被稱為lero與dero,。

  感想上帝提供的易讀性代碼!有推特網(wǎng)友感嘆,,“終于有值得翻閱的內(nèi)容了(Conti Trickbot Leaks.7z)——這些Erlang代碼整潔、可復(fù)用,,比幾個開源Erlang服務(wù)器示例要更好,。”

  TrickBot代碼泄露可能導(dǎo)致…

  更好的TrickBot出現(xiàn)

  數(shù)據(jù)泄露會減緩TrickBot攻擊者的惡意活動嗎,?真的未必,,因為攻擊者似乎已經(jīng)對Zanax發(fā)動過幾波打擊。

  上周(2月24日),,安全廠商Intel 471的研究人員發(fā)布一份報告,,講述TrickBot惡意軟件團(tuán)伙如何在一段漫長的停頓期后卷土重來。如果不是最近再次觀察到行動,,研究人員還以為他們突然消失了,。自2021年12月28日到2022年2月17日,研究人員沒有觀察到TrickBot團(tuán)伙的任何惡意活動,。

  研究人員當(dāng)時認(rèn)為,,這次停頓可能是由于TrickBot團(tuán)伙開始將業(yè)務(wù)重點轉(zhuǎn)向合作開發(fā)惡意軟件,例如Emotet,。

  ContiLeaks數(shù)據(jù)泄露事件很可能扭轉(zhuǎn)局勢,,但不一定會變得更好,。威脅情報廠商LookingGlass威脅情報高級主管David Marcus表示,隨著安全研究人員對數(shù)據(jù)的持續(xù)剖析,,此次泄露將產(chǎn)生“重大長期影響”,,“我們將了解對方的策略、代碼開發(fā),、貨幣化方式,、潛在成員身份等信息?!?/p>

  但代碼泄露本身也是一把雙刃劍,,他認(rèn)為“從防御的角度看,這會幫助研究人員更好地了解TrickBot工作原理,,進(jìn)而采取更可靠的防御手段,。但另一方面,這些源代碼也將流入其他惡意軟件開發(fā)者手中,,指導(dǎo)他們開發(fā)出更多類似TrickBot的惡意軟件,。”

  Conti團(tuán)伙并不在乎

  出了這么大的亂子,,Conti團(tuán)伙現(xiàn)在應(yīng)該很緊張吧,?但事實并非如此。

  威脅情報公司Advanced Intelligence(AdvInt)研究主管Yelisey Boguslavskiy表示,,他們的主要情報來源都沒有顯示出這會影響Conti,。

  他解釋道,“這次泄露只涉及Conti內(nèi)部6支小組中的1支,。雖然這個組似乎地位最高,,但其他小組確實絲毫未受影響。Conti只是簡單重啟了所有基礎(chǔ)設(shè)施,,然后繼續(xù)照常運行,。”




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。