Dark background with blue code overlay

Blog

Manuali per hacker di Conti - Lettura, esame e analisi

Akamai blue wave

Written by

Stiv Kupchik

April 05, 2022

Senior Security Researcher,  based in Tel Aviv, IL

conti.png

Analisi riassuntiva

  • I ricercatori sulla sicurezza di Akamai hanno esaminato e analizzato la documentazione interna del gruppo Conti per comprendere le tecniche e gli strumenti utilizzati da questo moderno gruppo ransomware.

  • Con un fatturato stimato di quasi 200 milioni di dollari, questa banda di ransomware viene considerata una delle gang di maggior successo al mondo.

  • L'analisi rivela un elenco di tecniche e procedure concrete (TTP) e indicatori di compromesso (IoC) impiegati dal gruppo, nonché potenziali tecniche di mitigazione.

  • Questi scenari di attacco sono poliedrici e accurati. Hanno trovato una formula che continua a funzionare: raccogliere credenziali, propagare e ripetersi.

  • La documentazione sugli attacchi mostra una forte attenzione alla propagazione in rete del tipo "mani sulla tastiera", il che suggerisce la necessità di utilizzare solide protezioni contro il movimento laterale e il suo ruolo fondamentale nella difesa dai ransomware.

  • Questi TTP sono tecniche ben note, ma altamente efficaci. Si tratta di un sobrio promemoria dell'arsenale a disposizione dei gruppi di attacco come Conti e può suggerire gli strumenti spesso utilizzati da altri gruppi. Lo studio di questi TTP offre ai team addetti alla sicurezza "un'esclusiva anteprima" sul modus operandi degli autori degli attacchi nel tentativo di prepararsi meglio per affrontarli.

  • L'attenzione posta dal gruppo nella propria documentazione sull'hacking e sulla propagazione pratica, piuttosto che sulla crittografia, dovrebbe spingere gli addetti ai sistemi di difesa a concentrarsi anche su quelle parti della kill chain, invece di concentrarsi sulla fase della crittografia.

Introduzione

Conti è un famigerato gruppo ransomware che prende di mira le organizzazioni dai ricavi elevati. È stato rilevato per la prima volta nel 2020 e sembra avere sede in Russia. Si ritiene che sia il successore del gruppo ransomware Ryuk. Secondo Chainalysis, questo gruppo ransomware ha registrato l'incasso più elevato di tutti i gruppi ransomware nel 2021, con un ricavo stimato di almeno 180 milioni di dollari. 

Il 27 febbraio 2022, è stato creato l'handle di Twitter @contileaks , che ha iniziato a diffondere documenti interni e registri delle chat del gruppo, nonché gli indirizzi di alcuni dei propri server interni e il codice sorgente. Nella comunità è ampiamente diffusa l'idea che sia stato un membro interno a far trapelare i documenti dopo una disputa sul sostegno pubblico del gruppo del governo russo durante il conflitto russo-ucraino, ma la persona dietro l'account di Twitter contileaks afferma di essere un ricercatore ucraino indipendente.

 

conti1.png

Sebbene in passato siano avvenute fughe di questo tipo (di solito a causa di interessi personali degli operatori), ciò che rende questa fuga particolarmente interessante è l'enorme quantità di informazioni trapelate. Indipendentemente dalle circostanze, questi documenti offrono alla comunità uno sguardo raro su come questi gruppi di attacco operano su larga scala, cosa usano e come pensano in generale. 

Comprensibilmente, c'è stata una quantità significativa di copertura giornalistica su questi documenti, in particolare i registri delle chat, che hanno rivelato i rapporti umani all'interno di un gruppo di cybercriminali. Tuttavia, finora non è stato scritto molto sugli strumenti, sulle tecniche e sulle procedure del gruppo. 

Nel tentativo di raccogliere queste informazioni, abbiamo deciso di concentrarci sulla documentazione interna, che include linee guida per gli operatori sulla selezione degli obiettivi, sugli attacchi e sull'utilizzo dei propri strumenti. Riteniamo che questi TTP e queste metodologie dovrebbero anche fornire informazioni su altri operatori di ransomware, consentendoci di metterci nei panni di questi autori di attacchi, comprendere i loro modi di operare e preparare le nostre difese di conseguenza.

In questo post del blog, intendiamo discutere della metodologia di attacco e degli strumenti utilizzati dal gruppo ransomware Conti, come desunto dalla documentazione trapelata. Se desiderate semplicemente sapere come difendere voi stessi e la vostra rete o, semplicemente, desiderate vedere un rapido elenco dei loro TTP, potete passare alle nostre sezioni Soluzioni di mitigazione o Riepilogo .

Metodologia di attacco di Conti

Come molti moderni gruppi di cybercriminali, Conti opera come un'azienda. Come descritto in questo articolo di Wired, il gruppo è in grado di realizzare profitti (alcuni operatori hanno dichiarato guadagni personali pari a quasi 100 mila dollari), far crescere le proprie attività e aggiungere nuovi operatori, oltre ad avere persino un CEO. Nell'ambito delle proprie operazioni aziendali, Conti adotta un “processo di onboarding” per i nuovi operatori, governato da manuali che ne dettagliano la metodologia e il modus operandi. In questi manuali troviamo informazioni importanti su come Conti si propaga all'interno delle reti, quali obiettivi sceglie e quali strumenti utilizza.

È interessante notare come Conti sia noto per essere un gruppo di attacco a doppia estorsione : Conti riesce ad esfiltrare e crittografare i dati per assicurarsi i pagamenti. I dati esfiltrati vengono utilizzati per ricattare un'azienda affinché paghi il riscatto o venduti al miglior offerente. In questo modo, anche se sono disponibili backup, le aziende sono costrette a pagare per evitare i danni potenzialmente causati da una fuga. Questo metodo è stato reso popolare per la prima volta dal gruppo ransomware Maze, presumibilmente chiuso nel 2020 e dal quale molti membri sono stati reclutati in Conti.

Come mostrato nelle schermate qui sotto, acquisite dal sito di Conti, questo gruppo opera su una sorta di sequenza temporale di divulgazione: dopo aver avvisato l'organizzazione dell'estorsione, più tempo impiega la vittima ad effettuare il pagamento richiesto, più dati esfiltrati cominciano a venire divulgati. Il gruppo non sembra avere una linea guida predefinita sul prezzo del riscatto, da quanto risulta da alcuni registri delle chat trapelati che mostrano i membri del gruppo che discutono del prezzo del riscatto per le loro vittime.

 

Sito web sulla fuga di notizie di Conti - Prima pagina Sito web sulla fuga di notizie di Conti - Prima pagina

La fuga di notizie include due documenti che presentano una panoramica della metodologia di attacco alla rete di Conti e dei relativi obiettivi di propagazione. Questi documenti sono diretti agli operatori/associati di attività di hacking del gruppo. Non abbiamo trovato documenti o manuali relativi alle pratiche di accesso iniziale, ma solo documenti di progettazione per vari crawler Internet. Pensiamo che ciò possa indicare che questo vettore sia in qualche modo automatizzato. Le linee guida per l'operatore vengono utilizzate dopo la violazione iniziale. 

Entrambi i documenti descrivono la stessa metodologia, che può essere riassunta come "raccolta di credenziali, propagazione e ripetizione". Come accennato, si presume che un operatore abbia accesso a un computer in rete. L'obiettivo del gruppo è iniziare a propagarsi tramite la rete, prima tentando di violare e decrittografare le password o con un atto di forza bruta. All'operatore viene quindi richiesto di utilizzare le credenziali sul computer successivo, espandendo la propria portata e successivamente ripetendo il primo passaggio. Allo stesso modo, agli operatori viene richiesto di non avviare la crittografia fino a quando non viene raggiunto il dominio della rete per garantire il massimo impatto. 

La dottrina di attacco di Conti non è nuova. L'uso di strumenti efficaci e la persistenza sembrano fare la differenza. Il processo sembra essere per lo più del tipo "mani sulla tastiera": mentre alcune funzioni possono essere controllate da script o automatizzate, generalmente ci si aspetta che siano gli operatori a rubare le credenziali e a prendere decisioni consapevoli sulla diffusione nella rete. 

Obiettivi di propagazione in rete

Innanzitutto, l'obiettivo di Conti è raggiungere il controller di dominio (DC). Agli operatori viene richiesto di accedere al DC tramite il furto di credenziali e l'espansione di cui si è detto sopra. Poiché il processo sembra essere in gran parte manuale, ciò offre agli operatori di Conti un livello di discrezionalità nella scelta degli obiettivi. Una volta trovate le credenziali dell'amministratore del dominio, gli operatori di Conti avranno accesso a una serie di risorse critiche: 

  • Registri di accesso alla maggior parte della rete per analizzare il comportamento degli utenti

  • Record DNS per la maggior parte del dominio, che possono essere utilizzati per dedurre l'utilizzo

  • Hash delle password

  • Punti focali per il movimento laterale

Questa focalizzazione sulla DC rafforza l'idea che la fase di propagazione in rete sia cruciale per l'attacco. Dal DC, gli autori degli attacchi possono estrarre la maggior parte (se non tutte) le credenziali di cui hanno bisogno per accedere all'intera rete. Inoltre, poiché in genere vengono archiviate più configurazioni di dominio, gli autori degli attacchi, di solito, ottengono molte informazioni sulla rete stessa e sui relativi elementi fondamentali.

  • Èinteressante notare come Conti sconsiglia di mantenere la backdoor e la persistenza sul DC, ma incoraggia, invece, di mantenere la backdoor sui server rivolti all'esterno poiché un DC è molto spesso più monitorato. Sebbene raggiungere un DC sia fondamentale per il loro successo, un rilevamento potrebbe anche vanificare completamente i loro sforzi.

Conti definisce elementi fondamentali le condivisioni dei file di rete e altri computer contenenti dati che possono essere esfiltrati. Questi dati includono:

  • E-mail, elenchi di indirizzi, informazioni di contatto

  • Database

  • Codice sorgente

  • Informazioni sull'account

  • Documenti di progettazione

  • Password/credenziali per altre reti

  • Portafogli digitali

Guida dettagliata di Conti al dominio della rete

Conti illustra la propria dottrina con linee guida tecniche dettagliate su come ottenere il dominio della rete. Di seguito è riportata una traduzione quasi letterale del relativo metodo, ma leggermente più organizzata rispetto al testo originale. Richiede una certa comprensione tecnica degli strumenti e dei processi utilizzati. Tuttavia, per gli utenti interessati a difendere la propria organizzazione da attacchi simili o che cercano di emulare un attacco di Conti, è possibile raccogliere informazioni preziose sul tipo di telemetria che dovrebbe apparire durante il movimento laterale e le fasi di escalation dei privilegi. 

È probabile che non tutti gli operatori seguano questo metodo alla lettera, ma questo documento dovrebbe far luce sul processo di pensiero della banda Conti. Se siete più interessati al modo con cui mitigare questa minaccia, piuttosto che alla minaccia stessa, potete accedere alla nostra sezione Soluzioni di mitigazione .

 

conti5.png

  1. Eseguire una query della struttura del dominio (utilizzando adfind, net view ecc)

a. A volte le password appariranno immediatamente nell'output di tali strumenti, sotto alcuni commenti

    2. Provare ad elevare i diritti di SISTEMA

    3. Se possibile:

a. Danneggiare la cache ARP e intercettare gli hash delle password da altri computer nella rete

b. Scaricare gli hash delle password locali

    4. In caso contrario:

a. Provare a verificare se altri computer nella rete sono accessibili, in particolare se la relativa condivisione admin$ è accessibile

i. In tal caso, ottenere i diritti di SISTEMA

b. Cercare le vulnerabilità RCE nella rete

c. Provare Kerberoast per ottenere più hash delle password

d. Per le reti di piccole dimensioni, è anche possibile tentare di applicare la forza bruta alle password degli utenti

i. Una speciale enfasi viene posta sul test dei limiti di blocco per la forza bruta prima di tentarne l'utilizzo

    5. Per qualsiasi server con una directory inetpub scrivibile, rilasciare una webshell aspx

    6. Scansionare la rete per ulteriori percorsi di diffusione

Kit di strumenti di Conti 

Per raggiungere i propri obiettivi di infiltrazione e propagazione in rete, Conti utilizza vari strumenti, la maggior parte dei quali non di propria creazione. In effetti, solo il crypter, il trojan e l'injector sembrano essere proprietari, ma per il movimento laterale, la propagazione e l'esfiltrazione di Conti sembra utilizzare una serie di strumenti che dovrebbero essere familiari sia ai team rossi che a quelli blu: Cobalt Strike, Mimikatz e PSExec, solo per citarne alcuni.

Sebbene alcuni lettori possano aspettarsi di vedere 0days e strumenti proprietari, la fuga di notizie dimostra che l'efficacia di uno strumento o di una tecnica non è direttamente correlata a quanto sia nuova o sconosciuta. Si consiglia ai lettori di prestare molta attenzione alle tecniche e agli strumenti divulgati dalla documentazione di Conti per tentare di ottenere una mitigazione più efficace di questi TTP a propria difesa.

  • Il principale strumento di hacking nell'arsenale di Conti sembra essere Cobalt Strike. La maggior parte degli esempi nei documenti sembrano essere comandi diretti per la sua shell o istruzioni per la sua GUI.

Accesso iniziale

Per poter iniziare a creare scompiglio nella rete, Conti deve prima essere in grado di violarla e di penetrare al suo interno. Come accennato in precedenza, nella documentazione non c'è nulla che descriva questo processo; piuttosto, sembra che Conti abbia sviluppato vari crawler e scanner che perlustrano Internet alla ricerca di server sfruttabili/violabili. Questi crawler concedono l'accesso iniziale alla rete di una vittima o la contrassegnano come violabile per i suoi operatori e affiliati. 

⚠ Il seguente elenco è stato creato dai documenti di progettazione, ma non siamo sicuri che verranno effettivamente implementati.

 

Servizio

Logica Crawler

Apache Tomcat

Ricerca dei server Tomcat e tentativo di sfruttare la vulnerabilità cgi-bin

Outlook Web Access (OWA)

Crawler Internet e brute forcer di credenziali

Remote Desktop Protocol (RDP)

Ricerca di server aperti a RDP da Internet e tentativo di forza bruta di violare i dettagli di accesso.

È indipendente dalla porta e non si basa sul fatto che RDP si trovi sul TCP 3389.

SQL

Ricerca di siti web con input dell'utente e tentativo di utilizzare SQL injection su di essi

Stampanti

Ricerca di stampanti accessibili da Internet e tentativo di sfruttarle utilizzando PRET

Posta

Spambot automatico, in grado di inviare e-mail di phishing dalla casella di posta locale

Movimento laterale

Oltre ai documenti metodologici, ci sono manuali aggiuntivi con esempi concreti e guide sull'implementazione del movimento laterale: le tecniche qui elencate costituiscono un'aggregazione completa di tutte le tecniche, ordinate per quantità di esempi/riferimenti di ciascuna (in ordine di importanza):

  • Strumentazione di gestione Windows remota (WMI): utilizzata per attivare i payload in remoto tramite /node:.. process call create

    • È interessante notare come gli autori di attacchi lo usano per attivare effettivamente un processo BITS  per scaricare il malware ospitato in remoto (o su una condivisione violata)

  • PSExec: sia lo strumento Sysinternals che la sua implementazione Cobalt Strike vengono utilizzati per l'esecuzione del payload remoto

  • Attività pianificata remota: utilizzando l'utilità della riga di comando SCHTASKS con il flag /s per creare un'attività remota che consente di eseguire un payload interrotto

  • WinRM: il metodo di esecuzione del codice integrato in Cobalt Strike

  • EternalBlue : sfrutta una vulnerabilità di esecuzione di codice remoto nelle PMI

  • BlueKeep : sfrutta una vulnerabilità di esecuzione di codice remoto RDP

Persistenza e backdoor

Dai registri delle chat trapelati, gli unici metodi di persistenza oggetto di discussione sono le attività pianificate. Abbiamo aggiunto tutti i nomi e i percorsi delle attività da noi osservati nei registri della chat al nostro archivio GitHub.

Altri metodi di persistenza che abbiamo visto spiegati in uno dei manuali di Conti includono:

Oltre a quelli riportati sopra, che vengono utilizzati per avviare i propri beacon/shell inversi, i manuali menzionano anche l'installazione di AnyDesk e Atera, oltre a modificare la porta RDP (e consentirgli di passare attraverso il firewall di Windows), il tutto presumibilmente per disporre di un altro punto di accesso nel caso in cui la comunicazione venga persa (il termine utilizzato al riguardo è "закреп", che si traduce approssimativamente in "danneggiato [sul posto]").

Escalation dei privilegi

Oltre agli strumenti di escalation dei privilegi locali (LPE) disponibili in Cobalt Strike, sembra che Conti utilizzi la variante LPE di PrintNightmare per creare nuovi amministratori locali per i beacon eseguiti come un utente normale.

 

Raccolta di credenziali

La maggior parte dei manuali di raccolta delle credenziali di Conti fa riferimento a Mimikatz, ma il relativo arsenale completo include:

  • Mimikatz

    • lsadump

    • dcsync

    • pth

    • token injection

    • Zerologon: sfrutta una vulnerabilità netlogon per ottenere una sessione autenticata sul controller di dominio e reimpostare la password krbtgt

  • Kerberoast: utilizzato per decifrare le password degli utenti del servizio Kerberos dai ticket di assistenza

  • Zerologon: questa volta utilizzato come modulo di sfruttamento di post di Cobalt Strike per acquisire una sessione di accesso al DC per eseguire dcsync

  • Credential stealer: probabilmente uno sviluppo interno; esegue la scansione del filesystem locale alla ricerca di password utente memorizzate in file di testo e documenti

Elusione della difesa

Conti dispone di vari metodi per eludere il rilevamento. Il principale (e il più sorprendente) è garantire che i propri strumenti rilasciati non attivino il rilevamento in primo luogo.

La documentazione di Conti include prove di test dei propri strumenti e delle proprie tecniche contro una serie di noti antivirus, che includono i test richiesti per evitare che i propri dropper e injector attivino vari motori antivirus. A tal scopo, utilizzano computer locali che eseguono sia i motori antivirus che dyncheck, una piattaforma che consente il caricamento e l'analisi di prova (simile a VirusTotal, anche se al momento sembra non essere accessibile).

In particolare, gli autori di attacchi sono interessati ai seguenti motori antivirus:

  • Windows Defender

  • ESET Nod32

  • Avast Home

  • Kaspersky Antivirus

  • Bitdefender

Inoltre, Conti dispone di alcuni manuali sull'arresto di Windows Defender tramite la manipolazione della policy dell'host per disattivarlo o l'interruzione del servizio. Sembra che venga prestata particolare attenzione al servizio, probabilmente a causa del suo diffuso utilizzo nelle organizzazioni prese di mira.

La backdoor persistente ottiene gli indirizzi di comando e controllo da metodi offuscati, aiutando anche ad eludere il rilevamento:

  • emercoin dns

  • cache di Google

  • transazioni di bitcoin

Il salvataggio dei file sul disco è sconsigliato e gli script/lolbin sono il metodo preferito. I file salvati su disco devono essere nascosti tramite steganografia (in immagini o file di certificati) o in un modo facilmente elencabile (registro, flussi di file).

Soluzioni di mitigazione

Poiché la superficie di attacco è poliedrica, anche la tua difesa dovrebbe prevedere più livelli: non esiste una soluzione di protezione e sicurezza immediata. Come possiamo vedere nella metodologia di attacco, l'implementazione della prima istanza di ransomware è preceduta da un processo sofisticato, che ci offre molte opportunità per rilevare e rispondere all'attacco.

Per una correlazione tra il metodo di attacco e la sua mitigazione, fare riferimento a Riepilogo: Kit di strumenti di Conti.

Controllo degli accessi e ZeroTrust

Conti si affida molto agli utenti esistenti e alle relative credenziali per il movimento laterale e l'accesso. Applicare il controllo su chi può accedere a cosa e dove e separare di proposito gli utenti esperti dalle attività quotidiane può inibire e rallentare notevolmente il processo di movimento laterale. Inoltre, consente una superficie di rilevamento molto maggiore.

Segmentazione

Oltre a controllare l'accesso degli utenti, è anche possibile controllare i percorsi di comunicazione. Disabilitare i protocolli soggetti ad abuso per il movimento laterale (RPC, RDP, WinRM, SSH, ecc.) tra gli endpoint degli utenti, limitare l'accesso alle condivisioni di file (o disabilitarle del tutto su ciò che non è un file server) e limitare l'accesso ai database e ai server di backup può ridurre notevolmente la superficie di attacco della rete.

Per un po' di granularità in più, i metodi di movimento laterale che si basano su RPC (come WMI remoto, attività pianificate remote e psexec) possono essere controllati anche a livello di sistema operativo, utilizzando i filtri RPC.

Web Application Firewall

Prima che qualsiasi attacco possa propagarsi all'interno della rete, l'autore degli attacchi deve riuscire ad accedere ad essa. Nei casi di Conti, i suoi crawler e vettori di accesso iniziale includono il phishing (mail spambot) e lo sfruttamento di servizi Internet (OWA, SQL injection, Apache Tomcat cgi-bin). Nella maggior parte dei casi, un buona soluzione WAF (Web Application Firewall) dovrebbe bloccare la maggior parte dei tentativi degli autori di attacchi di ottenere tale punto d'appoggio iniziale nella rete.

Inventario software e gestione delle patch

Tenere traccia di quale software è installato e dove è installato può aiutare a rilevare le aggiunte indesiderate. Ciò vale per le backdoor Atera e AnyDesk di Conti e anche per altri attacchi (in tal caso, LAPSUS$, con procexp e ProcessHacker). Inoltre, la gestione delle patch può risolvere il problema. Nessuno degli exploit discussi in questo blog è recente; le patch sono state rilasciate molto tempo fa. Nonostante ciò, Conti e altri gruppi hanno avuto successo perché molti server rimangono privi di patch.


Rilevamento di malware - EDR/AV

Questa è l'ultima linea di difesa sui computer nella rete. Una buona (e aggiornata) soluzione di rilevamento e risposta degli endpoint (EDR) o antivirus (AV) può consentire di rilevare e bloccare gli strumenti utilizzati durante l'attacco. È un gioco del tipo "gatto e topo" (come abbiamo visto Conti verifica se i propri strumenti eludono il rilevamento), ma è meglio avere un gatto che a volte cattura i topi piuttosto che nessun gatto e un'infestazione di topi.

Alcuni EDR oggi affermano anche di essere in grado di rilevare e prevenire i ransomware in modo euristico, quando iniziano a crittografare l'host. Non ci pronunciamo sul tasso di efficienza di questa funzione, ma è qualcosa da considerare.

Conclusione

Sebbene siano ancora molte le cose che non sappiamo su Conti e altri gruppi di ransomware, questi documenti hanno fornito alla community della sicurezza uno sguardo iniziale su un'organizzazione di criminali informatici. Queste informazioni sono inestimabili nella lotta contro di loro e contro il ransomware in generale. 

È diventato un po' banale affermare che dobbiamo capire il punto di vista dell'autore degli attacchi, ma c'è molta verità in questa affermazione. Considerando Conti come un'operazione commerciale la cui strategia di go-to-market è trapelata, possiamo agire come suoi concorrenti in un certo senso, usando la sua proprietà intellettuale contro di esso. 

Nessuno degli strumenti utilizzati da Conti è particolarmente innovativo. Gli operatori di Conti utilizzano molti strumenti e metodi per infettare e, infine, crittografare le reti di destinazione, ma li conosciamo tutti. Non sono minacce zero-day uniche, ma sono TTP "di conoscenza comune" che vengono anche impiegati dai team rossi ovunque.

Ciò nonostante, hanno ancora un ampio successo. "Se non è rotto, non aggiustarlo", come si suol dire. Ciò supporta l'idea che i team addetti alla sicurezza debbano esaminare attentamente il proprio approccio alla difesa. Le minacce zero-day possono fare notizia, ma gli attacchi fondamentali fanno fare i soldi.

L'obiettivo è il dominio della rete. Di solito, quando si parla di ransomware, viene posta una maggiore enfasi sull'atto effettivo della crittografia. Tuttavia, la verità che volevamo mostrare con questo post è che deve verificarsi un lungo processo prima che qualsiasi crittografia possa avere inizio. In tal caso, la nostra discussione è supportata dalla documentazione effettiva dell'operatore di ransomware. Considerando il rapporto tra la documentazione sull'hacking e la documentazione sulla crittografia, diventa chiaro che il problema principale riguarda l'hacking (violazione della rete, movimento laterale e propagazione, elusione del rilevamento) piuttosto che le semplici operazioni di crittografia ed esfiltrazione dei dati. 

In realtà, è una sorta di aspetto positivo. Questa conoscenza dimostra che la superficie di rilevamento che possiamo utilizzare per la difesa è molto più ampia di quanto sembri: dobbiamo solo raggiungerla e utilizzarla. Solo perché questi TTP non sono nuovi non vuol dire che siano banali: se lo fossero, non verrebbero utilizzati da uno dei gruppi ransomware di maggior successo attualmente attivi. Questa documentazione e la relativa analisi supporta il fatto che, come community, dobbiamo guardare al ransomware in modo più olistico piuttosto che solo alla crittografia. Concentrandoci principalmente sull'aspetto della crittografia del ransomware, stiamo perdendo un'ampia superficie di rilevamento che potrebbe fare la differenza tra un incidente e un titolo di prima pagina. 

Riepilogo: Kit di strumenti di Conti

Abbiamo aggregato la seguente tabella dei TTP di Conti e le possibili misure di mitigazione per essi:

Categoria

Metodo

Descrizione

Mitigazione

Strumenti di attacco

Cobalt Strike

Strumenti commerciali di accesso remoto progettati per i team rossi, ma spesso utilizzati in modo improprio dagli operatori di malware

• EDR/AV

• Segmentazione

• Controllo degli accessi

Trickbot

Spyware Trojan

Movimento laterale

PSExec

Strumento Microsoft gratuito per l'esecuzione di programmi in remoto

• Segmentazione

• Controllo degli accessi

• Filtri RPC

WMI remoto

Funzionalità di amministrazione Microsoft in grado di eseguire programmi in remoto

Utilità di pianificazione remota

WinRM

Servizio e protocollo Windows per la gestione remota dell'host

BlueKeep

Una vulnerabilità legata all'esecuzione di codice in modalità remota in Microsoft RDP

• Gestione delle patch

• Segmentazione

• Controllo degli accessi

EternalBlue

Una vulnerabilità legata all'esecuzione di codice in modalità remota in Microsoft SMB

Escalation dei privilegi

PrintNightmare

Una vulnerabilità legata all'esecuzione di codice in modalità remota nel servizio Window Print Spooler

 

• Gestione delle patch

 

Raccolta di credenziali

Mimikatz

Dumper delle credenziali open source

 

• EDR/AV

 

ZeroLogon

Una vulnerabilità di elevazione dei privilegi in MS-NRPC

• Gestione delle patch

• Segmentazione

• Controllo degli accessi

• Filtri RPC

Backdoor

AnyDesk, Atera

Software per l'accesso remoto

• Gestione dell'inventario del software

Webshell

Rilascio di webshell su server web violati

 

• EDR/AV

 

RDP

Protocollo desktop remoto di Windows

• Segmentazione

• Controllo degli accessi

Tecniche di persistenza

Vari metodi di persistenza per caricare un bot/dropper

• EDR/AV

Elusione del rilevamento

Disabilitazione di Windows Defender

Disabilitazione dell'antivirus per evitare il rilevamento di malware

• EDR/AV

• Gestione dell'inventario del software

Offuscamento

Codifica degli indirizzi C2 e della comunicazione per inibire il rilevamento

• EDR/AV

• IDS

Accesso iniziale

Outlook Web Access (OWA

Accesso di forza bruta all'interfaccia web di Outlook per diffondere e-mail di phishing

• Web Application Firewall

RDP

Accesso di forza bruta ai server connessi a Internet con RDP aperto

• Segmentazione

• Controllo degli accessi

SQL

Tentativo di SQL injection su siti web con input dell'utente

• EDR/AV

• IDS

• Web Application Firewall

Stampanti

Utilizzo di exploit kit su stampanti aperte a Internet

• Gestione delle patch

• Segmentazione

• Controllo degli accessi

Scanner Apache Tomcat

Tentativo di sfruttare i server Apache Tomcat

• Web Application Firewall

Posta

Utilizzo di uno spambot per diffondere e-mail di phishing su caselle postali/host compromessi

• EDR/AV

Riferimenti:

Pur avendo letto tutti i file della documentazione divulgati, alcuni file contenevano più informazioni di altri. Abbiamo elencato tutti i file contenenti le informazioni utilizzate per scrivere questo post del blog. Seguiamo l'albero delle cartelle da vx-underground.

  • Conti Toolkit Leak/

    • Мануали для работяг и софт/

      • MANUALS/

        • МАНУАЛ.txt

        • Заменяем sorted адфиндера.txt

        • ПРОСТАВЛЕНИЕ.txt

        • Меняем RDP порт.txt

        • по отключению дефендера.txt

        • ПЕРВОНАЧАЛЬНЫЕ ДЕЙСТВИЯ.txt

      • CobaltStrike MANUAL_V2 .docx

  • Conti Documentation Leak/

    • docs/

      • modules/

        • ТЗ доработка модуля распространения.txt

        • ТЗ автоматизация чистки.txt

        • требования к лоадеру.txt

        • ТЗ бэкдор.txt

        • сканер apache tomcat.txt

        • ТЗ брут OWA.txt

        • ТЗ сканер rdp.txt

        • ТЗ сканер sql инъекций2.txt

        • ТЗ сканер принтеров.txt

        • ТЗ спамбот.txt

      • misc/

        • ТЗ автоматизация группового тестирования в криптопанели.txt

      • management/

        • чистка АВ.txt

      • быстрый старт хакера.txt



Akamai blue wave

Written by

Stiv Kupchik

April 05, 2022

Senior Security Researcher,  based in Tel Aviv, IL