Dark background with blue code overlay

Blog

Les manuels de piratage de Conti : lus, revus et analysés

Akamai blue wave

Written by

Stiv Kupchik

April 05, 2022

Senior Security Researcher,  based in Tel Aviv, IL

conti.png

Synthèse

  • Les experts de la recherche sur la sécurité d'Akamai ont examiné et analysé la documentation interne du groupe Conti qui a été divulguée afin de comprendre les outils et les techniques utilisés par un groupe de ransomwares de nos jours.

  • Conti est un groupe d'opérateurs de ransomwares dont les revenus sont estimés à près de 200 millions de dollars et qui est considéré comme l'un des gangs de ransomwares les plus prospères au monde.

  • L'analyse révèle une liste de techniques et de procédures concrètes (TTP) et d'indicateurs d'infection (IoC) employés par le groupe, ainsi que des techniques d'atténuation potentielles qui peuvent être utilisées par les équipes bleues.

  • Ces scénarios d'attaque comportent de multiples facettes et sont très détaillés. Ils ont trouvé une formule qui marche toujours aujourd'hui : collecte des identifiants de connexion, propagation et ainsi de suite.

  • Les documents relatifs à l'attaque mettent l'accent sur la propagation dans le réseau de manière « directe », ce qui souligne la nécessité de mettre en place des protections solides contre les mouvements latéraux et leur rôle essentiel dans la défense contre les ransomwares.

  • Ces TTP sont des techniques bien connues, mais très efficaces. Il s'agit là d'un rappel dégrisant de l'arsenal qui est à la disposition de groupes d'attaques comme Conti, et qui peut donner une idée des outils souvent utilisés par d'autres groupes. L'étude de ces TTP offre aux équipes de sécurité une sorte de « scoop interne » sur le modus operandi des attaquants, qui devrait les aider à être mieux préparées à leurs attaques.

  • L'accent mis par le groupe dans sa documentation sur le piratage et la propagation directe, plutôt que sur le chiffrement, devrait inciter les défenseurs des réseaux à se concentrer également sur ces maillons de la chaîne d'attaque, au lieu de se focaliser sur la phase de chiffrement.

Introduction

Conti est un groupe de ransomwares notoire qui cible les organisations à revenu élevé. Il a été détecté pour la première fois en 2020 et semble être basé en Russie. On dit que le groupe est le successeur du groupe de ransomwares Ryuk. Selon Chainalysis, le groupe de ransomwares était le plus rentable de tous les groupes de ransomwares en 2021, avec un revenu estimé à au moins 180 millions de dollars. 

Le 27 février 2022, le nom d'utilisateur Twitter @contileaks a été créé et a commencé à diffuser des documents internes et des journaux de discussion du groupe, ainsi que les adresses de certains de ses serveurs internes et son code source. Il est largement admis dans la communauté que c'est un membre interne au groupe qui a divulgué les documents après un différend sur le soutien public du groupe au gouvernement russe pendant le conflit russo-ukrainien, mais la personne derrière le compte Twitter contileaks prétend être un chercheur ukrainien indépendant.

 

conti1.png

Bien que des fuites de ce type se soient déjà produites par le passé (généralement en raison des intérêts personnels des opérateurs), ce qui rend celle-ci particulièrement intéressante est la quantité d'informations divulguée. Quoi qu'il en soit, ces documents donnent à la communauté un aperçu rare de la façon dont ces groupes d'attaques opèrent à grande échelle, de ce qu'ils utilisent et de leur façon de penser en général. 

Ces documents, en particulier les journaux de discussion, ont fait l'objet d'une couverture médiatique importante, ce qui a ouvert une fenêtre sur les liens humains au sein d'un groupe de cybercriminels. Cependant, peu de choses ont été trouvées jusqu'à présent concernant les outils, les techniques et les procédures du groupe. 

Afin de glaner ces informations, nous avons décidé de nous concentrer sur la documentation interne, qui comprend des directives destinées aux opérateurs sur la sélection des cibles, le piratage et l'utilisation de leurs outils. Nous pensons que ces TTP et méthodologies devraient également fournir de nouvelles perspectives sur d'autres opérateurs de ransomware, ce qui nous permettra de nous mettre à la place de ces attaquants, de comprendre leurs modes opératoires et de préparer nos défenses en conséquence.

Dans cet article de blog, nous examinerons la méthodologie et les outils d'attaque utilisés par le groupe de ransomwares Conti, tels qu'ils ressortent de la documentation divulguée. Si vous souhaitez simplement savoir comment vous défendre et défendre votre réseau, ou si vous voulez une liste rapide de leurs TTP, vous pouvez passer directement aux sections Atténuations ou synthèse .

La méthodologie derrière les attaques de Conti

Comme beaucoup de groupes cybercriminels aujourd'hui, Conti fonctionne comme une entreprise. Comme indiqué dans cet article de Wired, le groupe est capable de réaliser des bénéfices (certains opérateurs ont déclaré des gains personnels de près de 100 000 $), de développer ses activités et d'ajouter de nouveaux opérateurs. Il possède même un PDG. Dans le cadre de ses activités, Conti applique un « processus d'intégration » pour les nouveaux opérateurs, régi par des manuels détaillant sa méthodologie et son modus operandi. Dans ces manuels, nous trouvons des informations importantes sur la manière dont Conti se propage à l'intérieur des réseaux, sur les cibles qu'ils choisissent et sur les outils qu'ils utilisent.

Fait intéressant, Conti est connu pour être un groupe d'attaques à double extorsion : Conti extrait et chiffre les données afin de s'assurer le paiement de la rançon. Les données exfiltrées sont soit utilisées pour faire chanter l'entreprise afin qu'elle paie la rançon, soit vendues au plus offrant. De cette façon, même si des sauvegardes sont disponibles, les entreprises sont poussées à payer afin d'éviter les dommages qui pourraient être causés par une fuite. Cette méthode a été popularisée par le groupe de ransomwares Maze, qui aurait été fermé en 2020, et dont de nombreux membres ont été recrutés par Conti.

Comme le montrent les captures d'écran ci-dessous, tirées du site de Conti, le groupe utilise une sorte de calendrier de diffusion : une fois que l'organisation est avertie de l'extorsion, plus la victime met de temps à payer, plus ses données exfiltrées sont publiées. Le groupe ne semble pas avoir de ligne directrice prédéfinie concernant le montant de la rançon, certains journaux de discussion divulgués montrant des membres du groupe discutant de la somme à demander aux victimes.

 

Site Web sur les fuites de Conti, page d'accueil Site Web sur les fuites de Conti, page d'accueil

La fuite présente deux documents qui donnent un aperçu de la méthodologie des attaques réseau et des objectifs de propagation de Conti. Ces documents sont destinés aux opérateurs et aux associés du groupe. Nous n'avons pas vu de documentation ou de manuels concernant les pratiques d'accès initial, mais seulement des documents de conception pour divers indexeurs Internet. Nous pensons que cela pourrait indiquer que ce vecteur est plutôt automatisé. Les directives de l'opérateur sont utilisées une fois que la violation initiale a eu lieu. 

Les deux documents décrivent la même méthodologie, qui peut être résumée comme suit : « collecte des identifiants de connexion, propagation et ainsi de suite ». Comme mentionné précédemment, un opérateur est supposé avoir accès à une machine du réseau. Son objectif est alors de commencer la propagation dans le réseau, d'abord en tentant de trouver et de déchiffrer les mots de passe ou en forçant le passage. Ensuite, l'opérateur a pour instruction d'utiliser les identifiants sur la machine suivante, étendant ainsi sa portée, puis de répéter la première étape. De même, les opérateurs apprennent que le chiffrement ne commence pas tant que la domination du réseau n'est pas assurée, ce qui permet de maximiser l'impact. 

La doctrine d'attaque de Conti n'est pas nouvelle. L'utilisation d'outils efficaces et la persévérance semblent faire l'affaire. Le processus semble être principalement « manuel », bien que certaines fonctions puissent être écrites à l'avance ou automatisées, on attend généralement des opérateurs qu'ils fassent le travail consistant à voler des identifiants et à prendre des décisions éclairées sur la propagation dans le réseau. 

Objectifs de propagation sur le réseau

Avant tout, l'objectif de Conti est d'atteindre le contrôleur de domaine (DC). Les opérateurs ont pour instruction de se frayer un chemin jusqu'au DC par le biais du processus susmentionné de vol d'identifiants et d'expansion. Comme le processus semble être en grande partie manuel, cela laisse aux opérateurs de Conti une certaine liberté de jugement dans le choix des cibles. Une fois les identifiants de l'administrateur de domaine trouvés, les opérateurs de Conti obtiennent l'accès à un certain nombre d'actifs stratégiques : 

  • les journaux de connexion pour la majeure partie du réseau afin d'analyser le comportement des utilisateurs ;

  • les enregistrements DNS pour la majeure partie du domaine, qui peuvent être utilisés pour déduire l'utilisation ;

  • les hachages de mots de passe ;

  • les points d'intérêts pour les mouvements latéraux.

Cette focalisation sur le DC renforce l'idée que la phase de propagation sur le réseau est cruciale pour l'attaque. À partir du DC, les attaquants peuvent extraire la plupart (sinon la totalité) des identifiants dont ils ont besoin pour accéder à l'ensemble du réseau. De plus, comme une grande partie de la configuration du domaine y est généralement stockée, les attaquants obtiennent généralement beaucoup d'informations sur le réseau lui-même et les « joyaux » qu'il tente de protéger.

  • Il est intéressant de noter que Conti déconseille de laisser des backdoors persistantes sur le DC, et encourage plutôt le backdoor des serveurs tournés vers l'extérieur puisqu'un DC est souvent beaucoup plus surveillé. Si le fait d'atteindre le DC est essentiel à leur réussite, celui-ci pourrait également contrecarrer complètement leurs efforts s'ils se font détecter.

Conti appelle « joyaux de la couronne » les partages de fichiers en réseau et les machines qui contiennent des données pouvant être exfiltrées. Ces données comprennent :

  • des e-mails, des listes d'adresses, des coordonnées ;

  • des bases de données ;

  • du code source ;

  • des informations concernant la comptabilité ;

  • des documents de conception ;

  • des mots de passe/identifiants pour d'autres réseaux ;

  • des portefeuilles digitaux.

Guide pas-à-pas de Conti sur la domination du réseau

Conti illustre sa doctrine par un guide technique détaillé sur la manière d'acquérir la domination du réseau. Ce qui suit est une traduction presque littérale de leur méthode, mais un peu plus organisée que le texte original. Elle nécessite une certaine compréhension technique des outils et des processus utilisés. Cependant, les personnes soucieuses de défendre leur organisation contre des attaques similaires, ou celles qui cherchent à imiter les attaques de Conti, peuvent glaner des informations précieuses sur le type de télémesure qui devrait apparaître pendant les phases de mouvement latéral et d'escalade des privilèges. 

Il est probable que tous les opérateurs ne suivent pas ce principe à la lettre, mais cela devrait éclaircir le processus de réflexion du groupe Conti. Si vous êtes plus intéressé par la façon d'atténuer la menace, plutôt que par la menace elle-même, vous pouvez aller directement à notre section Atténuations .

 

conti5.png

  1. Interroger la structure du domaine (en utilisant adfind, net view, etc.)

a. Parfois, les mots de passe apparaissent immédiatement dans les résultats de ces outils, sous certains commentaires

    2. Essayer d'accéder aux droits SYSTÈME

    3. Si possible :

a. Contaminer le cache ARP et intercepter les hachages de mots de passe des autres machines du réseau

b. Trouver les hachages de mot de passe locaux

    4. Sinon :

a. Essayer de voir si les autres machines du réseau sont accessibles, en particulier si leur partage admin$ est accessible

i. Si c'est le cas, y aller pour obtenir les droits SYSTÈME

b. Rechercher les vulnérabilités RCE (exécution de code à distance) dans le réseau

c. Essayer Kerberoast pour obtenir davantage de hachages de mot de passe

d. Pour les petits réseaux, il est également possible d'utiliser des attaques en force pour trouver les mots de passe des utilisateurs

i. L'accent est mis sur le test des seuils de blocage des attaques en force avant de les tenter.

    5. Pour tout serveur avec un répertoire inetpub inscriptible, déposer un webshell aspx

    6. Rechercher d'autres chemins de propagation sur le réseau

Boîte à outils de Conti 

Pour atteindre ses objectifs d'infiltration du réseau et de propagation, Conti utilise divers outils, dont la plupart ne sont pas de sa propre fabrication. En fait, seuls le crypteur, le cheval de Troie et l'injecteur semblent lui appartenir, mais pour les mouvements latéraux, la propagation et l'exfiltration, Conti semble utiliser un grand nombre d'outils qui devraient être familiers aux personnes faisant partie d'équipes rouges et bleues : Cobalt Strike, Mimikatz et PsExec, pour n'en nommer que quelques-uns.

Bien que certains lecteurs puissent s'attendre à voir des outils propriétaires et zero-day, la fuite démontre que l'efficacité d'un outil ou d'une technique n'est pas directement corrélée à son caractère nouveau ou inconnu. Il est conseillé aux lecteurs de prêter une attention particulière aux outils et aux techniques qui ont fait l'objet d'une fuite dans la documentation de Conti, afin de pouvoir atténuer plus efficacement ces TTP dans leur propre défense.

  • Le principal outil de piratage de l'arsenal de Conti semble être Cobalt Strike. La plupart des exemples dans la documentation semblent être des commandes directes pour son shell ou des instructions pour son interface graphique.

Accès initial

Avant que Conti puisse commencer à faire des ravages à l'intérieur du réseau, il doit d'abord le pénétrer et s'y implanter. Comme nous l'avons déjà mentionné, rien dans la documentation ne décrit ce processus ; il semble plutôt que Conti ait développé divers indexeurs et scanners qui parcourent Internet à la recherche de serveurs exploitables/accessibles. Ces indexeurs vont soit lui accorder l'accès initial à un réseau victime, soit les marquer comme victimes potentielles pour ses opérateurs et ses affiliés. 

⚠ La liste suivante a été créée à partir de documents de conception. Nous ne savons pas si ces éléments sont réellement mis en œuvre.

 

Service

Logique d'indexation

Apache Tomcat

Recherche de serveurs Tomcat et tentative d'exploitation de la vulnérabilité cgi-bin

Outlook Web Access (OWA)

Indexeur Internet et attaque en force des identifiants

Remote Desktop Protocol (RDP)

Recherche de serveurs ouverts au RDP depuis Internet et tentative d'attaque en force des identifiants

Agnostique en termes de ports et ne dépend pas de la présence de RDP sur TCP 3389.

SQL

Scan des sites Web qui comportent des entrées utilisateur et tentative d'utiliser l'injection SQL sur ces sites

Imprimantes

Recherche des imprimantes accessibles depuis Internet et tentative de les exploiter avec PRET

Messagerie

Spambot automatique, capable d'envoyer des messages d'hameçonnage à partir de la boîte aux lettres locale

Mouvements latéraux

Outre les documents méthodologiques, il existe d'autres manuels contenant des exemples concrets et des guides sur la mise en œuvre des mouvements latéraux. Les techniques énumérées ici sont regroupées à partir de tous ces documents, classées en fonction du nombre d'exemples/de références pour chacune d'elle (dans l'ordre du plus important au moins important) :

  • Windows Management Instrumentation à distance (WMI) : utilisé pour déclencher des charges utiles à distance à l'aide de /node :.. process call create

    • Fait intéressant, les attaquants l'utilisent parfois pour déclencher réellement une BITS tâche de téléchargement du logiciel malveillant hébergé à distance (ou sur un partage compromis)

  • PSExec : l'outil Sysinternals lui-même et son implémentation Cobalt Strike sont utilisés pour l'exécution de charges utiles à distance

  • Tâche planifiée à distance : utilisation de l'utilitaire de ligne de commande SCHTASKS avec l'indicateur /s pour créer une tâche à distance permettant d'exécuter une charge utile abandonnée

  • WinRM : il s'agit de la méthode d'exécution de code intégrée dans Cobalt Strike

  • EternalBlue  : exploitation d'une vulnérabilité d'exécution de code à distance dans SMB

  • BlueKeep  : exploitation d'une vulnérabilité d'exécution de code à distance dans RDP

Persistance et backdoors

D'après les journaux de discussion qui ont été divulgués, les seules méthodes de persistance discutées sont les tâches planifiées. Nous avons ajouté tous les noms de tâches et les chemins d'accès que nous avons vus dans les journaux de discussion à notre référentiel GitHub.

Voici d'autres méthodes de persistance qui sont expliquées dans l'un des manuels de Conti :

En plus des éléments ci-dessus, qui sont utilisés pour lancer leurs pixels invisibles/reverse shells, les manuels mentionnent également l'installation d'AnyDesk et d'Atera, ainsi que la modification du port RDP (et la possibilité de le configurer pour passer à travers le pare-feu Windows), tout cela vraisemblablement pour disposer d'un autre point d'entrée au cas où la communication serait perdue (ils emploient le terme закреп, qui se traduit approximativement par « fixation »).

Escalade des privilèges

Outre les outils d'escalade des privilèges locaux (LPE) existants disponibles dans Cobalt Strike, il semble que Conti utilise la variante LPE de PrintNightmare pour créer de nouveaux administrateurs locaux pour les pixels invisibles qui s'exécutent en tant qu'utilisateur normal.

 

Collecte des identifiants de connexion

La plupart des manuels de Conti sur la collecte des identifiants de connexion font référence à Mimikatz, mais leur arsenal complet comprend :

  • Mimikatz

    • lsadump

    • dcsync

    • pth

    • token injection

    • Zerologon : exploitation d'une vulnérabilité de netlogon pour obtenir une session authentifiée sur le contrôleur de domaine et réinitialiser le mot de passe krbtgt

  • Kerberoast : utilisé pour pirater les mots de passe des utilisateurs de services kerberos à partir des tickets de service

  • Zerologon : cette fois utilisé comme module de post-exploitation de Cobalt Strike pour acquérir une session de connexion au DC afin d'exécuter dcsync

  • Credential stealer : probablement un outil développé en interne ; recherche dans le système de fichiers local les mots de passe des utilisateurs stockés dans des fichiers texte et des documents

Éviter les mesures de défense

Conti dispose de plusieurs façons d'éviter d'être détecté. La première (et la plus surprenante) consiste à s'assurer que les outils qu'il publie ne déclenchent pas de détection.

La documentation de Conti inclut des preuves qu'ils testent leurs outils et techniques avec un certain nombre d'antivirus bien connus. Il s'agit notamment de vérifier que leurs droppers et injecteurs ne déclenchent pas les différents moteurs antivirus. Pour ce faire, ils utilisent à la fois des machines locales exécutant les moteurs antivirus et dyncheck, une plateforme qui permet le téléchargement et l'analyse d'échantillons (similaire à VirusTotal, bien qu'elle semble ne pas être accessible pour le moment).

Les attaquants s'intéressent particulièrement aux moteurs antivirus suivants :

  • Windows Defender

  • ESET Nod32

  • Avast Home

  • Kaspersky

  • BitDefender

En outre, Conti dispose de plusieurs manuels sur l'arrêt de Windows Defender, soit en manipulant la règle de l'hôte pour le désactiver, soit en interrompant son service. Il semble qu'une attention particulière soit accordée à ce service, probablement en raison de son utilisation répandue dans les organisations cibles.

La porte dérobée persistante obtient les adresses de commande et de contrôle par des méthodes dissimulées, ce qui permet également d'échapper à la détection :

  • le dns emercoin ;

  • le cache Google ;

  • les transactions bitcoin.

L'enregistrement de fichiers sur le disque est déconseillé, et les scripts/lolbins sont la méthode de travail préférée. Les fichiers enregistrés sur le disque doivent être cachés en utilisant la stéganographie (dans des images ou des fichiers de certificat) ou d'une manière qui peut être facilement répertoriée (registre, flux de fichiers).

Atténuations

La surface d'attaque étant multidimensionnelle, votre défense doit également être multicouche. Il n'existe pas de solution unique qui puisse vous garantir une sécurité immédiate. Comme nous pouvons le voir dans la méthodologie des attaques, un processus sophistiqué précède le déploiement de la première instance du ransomware, ce qui nous laisse tout le loisir de détecter l'attaque et d'y répondre.

Pour une corrélation entre la méthode d'attaque et son atténuation, reportez-vous à la section Résumé : Boîte à outils de Conti.

Contrôle d'accès et Zero Trust

Conti s'appuie beaucoup sur les utilisateurs existants et leurs identifiants de connexion pour les mouvements latéraux et obtenir l'accès tant convoité. Le fait de contrôler qui peut accéder à quoi et où, et de séparer délibérément les utilisateurs puissants des activités quotidiennes, peut considérablement inhiber et ralentir le processus de mouvement latéral. Cela permet également de disposer d'une surface de détection beaucoup plus importante.

Segmentation

En plus de contrôler l'accès des utilisateurs, vous pouvez également contrôler les voies de communication. La désactivation des protocoles qui peuvent être utilisés de manière abusive pour les mouvements latéraux (RPC, RDP, WinRM, SSH, etc.) entre les points de terminaison des utilisateurs, la restriction de l'accès aux partages de fichiers (ou leur désactivation totale sur tout ce qui n'est pas un serveur de fichiers) et la limitation de l'accès aux bases de données et aux serveurs de sauvegarde peuvent réduire considérablement la surface d'attaque de votre réseau.

Pour une granularité supplémentaire, les méthodes de mouvement latéral qui reposent sur le RPC (telles que WMI à distance, les tâches planifiées à distance et psexec) peuvent également être contrôlées au niveau du système d'exploitation, à l'aide de filtres RPC.

Web Application Firewall

Avant qu'une attaque puisse se propager à l'intérieur de votre réseau, l'attaquant doit d'abord s'y implanter. En ce qui concerne Conti, les indexeurs et les vecteurs d'accès initial comprennent l'hameçonnage (spambot de courrier) et l'exploitation de services orientés vers Internet (OWA, injection SQL, cgi-bin Apache Tomcat). Dans la plupart des cas, un bon pare-feu d'application Web (Web Application Firewall) devrait bloquer la plupart des tentatives des attaquants de s'implanter dans le réseau.

Inventaire des logiciels et gestion des correctifs

Garder la trace des logiciels installés et de l'endroit où ils sont installés peut vous aider à détecter les ajouts indésirables. Cela vaut pour les backdoors Atera et AnyDesk de Conti, mais aussi pour d'autres attaques. (On citera notamment LAPSUS$ avec son procexp et ProcessHacker). En outre, la gestion des correctifs peut également vous aider à protéger vos ressources. Les failles de sécurité abordées dans cet article ne datent pas d'hier ; les correctifs ont été publiés il y a longtemps. Malgré cela, Conti et d'autres groupes continuent de s'en servir parce que de nombreux serveurs ne sont toujours pas protégés.


Détection des programmes malveillants : EDR/AV

Il s'agit de la dernière ligne de défense des machines du réseau. Une bonne solution de détection et de réponse des points de terminaison (EDR) ou un antivirus (AV) (à jour) peut aider à détecter et à bloquer les outils utilisés pendant l'attaque. C'est un vrai jeu du chat et de la souris (nous avons vu que Conti vérifie que ses outils échappent à la détection), mais un chat qui attrape une souris de temps en temps vaut mieux que pas de chat du tout et de se retrouver avec une infestation de rongeurs sur les bras.

Aujourd'hui, certaines solutions EDR prétendent également être capables de détecter et de prévenir les ransomwares de manière heuristique, lorsqu'ils commencent à chiffrer votre hôte. Nous ne nous prononcerons pas sur le taux d'efficacité de cette fonction, mais c'est un élément à prendre en compte.

Conclusion

Bien que l'on ignore encore beaucoup de choses sur Conti et les autres groupes de ransomwares, ces documents ont donné à la communauté de la sécurité un aperçu direct sur le fonctionnement d'une organisation cybercriminelle. Ces informations sont précieuses pour la poursuite de la lutte contre ce groupe et contre les ransomwares en général. 

Cela fait peut-être cliché de dire qu'il faut comprendre le point de vue de l'attaquant, mais c'est pourtant la vérité. En considérant Conti comme une entreprise dont la stratégie de commercialisation a été divulguée, nous pouvons agir comme le feraient ses concurrents, en utilisant sa propre propriété intellectuelle à notre avantage. 

Aucun des outils utilisés par Conti n'est particulièrement nouveau. Les opérateurs de Conti disposent de nombreux outils et méthodes qu'ils utilisent pour infecter et réussir à chiffrer les réseaux cibles, mais nous les connaissons tous. Ce ne sont pas des menaces uniques de type « zero-day », mais des TTP « classiques » qui sont également utilisées par les équipes rouges du monde entier.

Malgré cela, elles ont toujours un franc succès. Après tout, on ne change pas une équipe qui gagne. Cela renforce la nécessité pour les équipes de sécurité de bien examiner leur stratégie de défense. Les attaques zero-day font peut-être les gros titres, mais ce sont les attaques plus basiques qui rapportent.

L'objectif reste la domination du réseau. Habituellement, lorsqu'on parle de ransomware, on insiste davantage sur l'acte de chiffrement proprement dit. Cependant, nous avons voulu montrer dans cet article qu'un long processus doit avoir lieu avant que le chiffrement commence. Cette fois, notre discussion est étayée par la documentation réelle d'un opérateur de ransomwares. Si l'on compare la quantité de documentation sur le piratage et celle sur le chiffrement, il apparaît clairement que le problème principal est le piratage (violation du réseau, mouvements latéraux et propagation, contournement de la détection) plutôt que le simple chiffrement et l'exfiltration des données. 

Il y a donc quand même un bon côté à en dégager. Ces connaissances montrent que la surface de détection que nous pouvons utiliser en tant que défenseurs est beaucoup plus vaste qu'il n'y paraît : il suffit de la connaître et de l'utiliser. Ce n'est pas parce que ces TTP ne sont pas nouvelles qu'elles sont banales. Si c'était le cas, elles ne seraient pas utilisées par l'un des groupes de ransomwares les plus performants actuellement. Cette documentation et cette analyse confirment qu'en tant que communauté, nous devons considérer les ransomwares de manière plus globale, et non plus seulement sous l'angle du chiffrement. En nous concentrant principalement sur l'aspect chiffrement des ransomwares, nous passons à côté d'une vaste surface de détection qui pourrait faire la différence entre un incident et un gros titre. 

Résumé : Boîte à outils de Conti

Nous avons rassemblé dans le tableau suivant les TTP de Conti et les mesures d'atténuation possibles :

Catégorie

Méthode

Description

Protection

Outils d'attaque

Cobalt Strike

Outils commerciaux d'accès à distance conçus pour les équipes rouges, mais souvent utilisés à mauvais escient par les opérateurs de programmes malveillants

• EDR/AV

• Segmentation

• Contrôle d'accès

Trickbot

Logiciel espion type cheval de Troie

Mouvements latéraux

PSExec

Outil Microsoft gratuit pour l'exécution de programmes à distance

• Segmentation

• Contrôle d'accès

• Filtres RPC

WMI à distance

Fonction d'administration Microsoft capable d'exécuter des programmes à distance

Planificateur de tâches à distance

WinRM

Service et protocole Windows pour la gestion des hôtes à distance

BlueKeep

Une vulnérabilité d'exécution de code à distance dans le RDP de Microsoft

• Gestion des correctifs

• Segmentation

• Contrôle d'accès

EternalBlue

Une vulnérabilité d'exécution de code à distance dans le protocole SMB de Microsoft

Escalade des privilèges

PrintNightmare

Une vulnérabilité d'exécution de code à distance dans le service Windows Print Spooler

 

• Gestion des correctifs

 

Collecte des identifiants de connexion

Mimikatz

Gestionnaire d'identifiants open source

 

• EDR/AV

 

ZeroLogon

Une vulnérabilité d'escalade de privilèges dans MS-NRPC

• Gestion des correctifs

• Segmentation

• Contrôle d'accès

• Filtres RPC

Backdoor

AnyDesk, Atera

Logiciel d'accès à distance

• Gestion de l'inventaire des logiciels

Webshells

Utilisation de webshells sur des serveurs Web compromis

 

• EDR/AV

 

RDP

Protocole de bureau à distance Windows

• Segmentation

• Contrôle d'accès

Techniques de persistance

Diverses méthodes de persistance pour charger un bot/dropper

• EDR/AV

Évitement de la détection

Désactivation de Windows Defender

Désactivation de l'antivirus pour empêcher la détection des programmes malveillants

• EDR/AV

• Gestion de l'inventaire des logiciels

Dissimulation

Encodage des adresses C2 et des communications pour empêcher la détection

• EDR/AV

• IDS

Accès initial

Outlook Web Access (OWA

Forcer l'accès à l'interface Web d'Outlook pour diffuser des e-mails d'hameçonnage

• Web Application Firewall

RDP

Forcer l'accès aux serveurs Internet dont le RDP est ouvert

• Segmentation

• Contrôle d'accès

SQL

Tentative d'injection SQL sur des sites Web avec entrée utilisateur

• EDR/AV

• IDS

• Web Application Firewall

Imprimantes

Utilisation de kits d'exploitation sur des imprimantes ouvertes sur Internet

• Gestion des correctifs

• Segmentation

• Contrôle d'accès

Scanner Apache Tomcat

Tentative d'exploitation des serveurs Apache Tomcat

• Web Application Firewall

Messagerie

Utilisation d'un spambot pour diffuser des e-mails d'hameçonnage sur des boîtes aux lettres ou des hôtes compromis

• EDR/AV

Références

Bien que nous ayons lu tous les fichiers de documentation qui ont été divulgués, certains fichiers contenaient plus d'informations que d'autres. Nous avons répertorié tous les fichiers qui contiennent les informations utilisées pour écrire cet article de blog. Nous suivons l'arborescence de dossiers de vx-underground.

  • Conti Toolkit Leak/

    • Мануали для работяг и софт/

      • MANUALS/

        • МАНУАЛ.txt

        • Заменяем sorted адфиндера.txt

        • ПРОСТАВЛЕНИЕ.txt

        • Меняем RDP порт.txt

        • по отключению дефендера.txt

        • ПЕРВОНАЧАЛЬНЫЕ ДЕЙСТВИЯ.txt

      • CobaltStrike MANUAL_V2 .docx

  • Conti Documentation Leak/

    • docs/

      • modules/

        • ТЗ доработка модуля распространения.txt

        • ТЗ автоматизация чистки.txt

        • требования к лоадеру.txt

        • ТЗ бэкдор.txt

        • сканер apache tomcat.txt

        • ТЗ брут OWA.txt

        • ТЗ сканер rdp.txt

        • ТЗ сканер sql инъекций2.txt

        • ТЗ сканер принтеров.txt

        • ТЗ спамбот.txt

      • misc/

        • ТЗ автоматизация группового тестирования в криптопанели.txt

      • management/

        • чистка АВ.txt

      • быстрый старт хакера.txt



Akamai blue wave

Written by

Stiv Kupchik

April 05, 2022

Senior Security Researcher,  based in Tel Aviv, IL