Dark background with blue code overlay

Blog

Manuais Hacker do Conti — Lidos, Revisados e Analisados

Akamai blue wave

Written by

Stiv Kupchik

April 05, 2022

Senior Security Researcher,  based in Tel Aviv, IL

conti.png

Resumo executivo

  • Os pesquisadores de segurança da Akamai revisaram e analisaram a documentação interna do grupo Conti vazada para entender as ferramentas e técnicas usadas por um grupo de ransomware moderno.

  • Conti é uma gangue de ransomware com receita projetada em quase 200 milhões de dólares e é considerada uma das gangues de ransomware mais bem-sucedidas do mundo.

  • A análise revela uma lista de técnicas e procedimentos concretos (TTPs) e indicadores de compromisso (IoC) empregados pelo grupo, bem como potencial mitigação técnicas que podem ser utilizadas por equipes azuis.

  • Esses cenários de ataque são multifacetados e orientados a detalhes. Eles encontraram uma fórmula que continua a funcionar: coletar credenciais, propagar, repetir.

  • A documentação do ataque mostra um forte foco na propagação da rede “teclado prático”, sugerindo a necessidade de proteções fortes contra movimentos laterais e seu papel fundamental na defesa contra ransomware.

  • Esses TTPs são técnicas bem conhecidas, mas altamente eficazes. É um lembrete sábio do arsenal que está à disposição de grupos de ataque como Conti, e pode sugerir as ferramentas frequentemente usadas por outros grupos. Estudar esses TTPs oferece às equipes de segurança uma “visão de dentro” do modus operandi dos invasores em um esforço para se prepararem melhor contra eles.

  • A ênfase do grupo em sua documentação sobre hacking e propagação prática, em vez de criptografia, deve orientar os defensores da rede a se concentrarem também nas partes da cadeia de destruição, em vez de se concentrarem na fase de criptografia.

Introdução

Conti é um notório grupo de ransomware que visa organizações de receita alta. Foram detectados pela primeira vez em 2020 e parecem estar baseados na Rússia. Acredita-se que o grupo seja o sucessor do grupo de ransomware Ryuk. De acordo com o Chainalysis, o grupo de ransomware foi o maior de todos os grupos de ransomware em 2021, com uma receita estimada de pelo menos 180 milhões de dólares. 

Em 27 de fevereiro de 2022, a conta do Twitter @contileaks foi criada e começou a vazar documentos internos e logs de bate-papo do grupo, bem como os endereços de alguns de seus servidores internos e código-fonte. Isso é amplamente aceito na comunidade que se tratava de um membro interno que vazava os documentos após uma disputa em relação ao suporte público do governo russo ao grupo durante o conflito russo-ucraniano, mas a pessoa por trás da conta do Twitter afirma ser um pesquisador ucraniano independente.

 

conti1.png

Embora vazamentos como este tenham acontecido anteriormente (geralmente devido aos interesses pessoais dos operadores), o que torna este particularmente interessante é a quantidade pura de informações vazadas. Independentemente das circunstâncias, esses documentos dão à comunidade um raro vislumbre de como esses grupos de ataque operam em grande escala, o que usam e como pensam em geral. 

Compreensivelmente, houve uma quantidade significativa de cobertura de notícias sobre esses documentos, especialmente os logs de bate-papo, que abriram uma janela para as conexões humanas dentro de um grupo de crime cibernético. No entanto, até agora não foi escrito muito a respeito das ferramentas, técnicas e procedimentos do grupo. 

Em um esforço para recolher essas informações, decidimos nos concentrar na documentação interna, que inclui diretrizes para operadores sobre seleção de alvos, hacking e uso de suas ferramentas. Acreditamos que esses TTPs e metodologias também devem dar uma visão de outros operadores de ransomware, permitindo que nos coloquemos no lugar desses invasores, entendamos suas formas de operação e preparemos nossas defesas apropriadamente.

Nesta publicação do blog, discutimos a metodologia de ataque e as ferramentas usadas pelo grupo de ransomware Conti, como se coletaram de sua documentação vazada. Se você gostaria apenas de saber como se defender a si mesmo e à sua rede, ou apenas desejar uma lista rápida de TTPs, você pode pular para o as nossas seções Mitigações ou resumo .

Metodologia de ataque do Conti

Como muitos grupos modernos de crime cibernético, o Conti opera como uma empresa. Conforme descrito neste artigo da Wired, o grupo é capaz de lucrar (alguns operadores alegaram ganhos pessoais de quase US$100 mil), aumentando sua operação e adicionando novos operadores — e até tem um CEO. Como parte de sua operação de negócios, o Conti emprega um “processo de integração” para novos operadores, regido por manuais que detalham a sua metodologia e o modus operandi. Nesses manuais, encontramos informações importantes sobre como o Conti se propaga dentro das redes, quais são os alvos selecionados e quais ferramentas eles usam.

Curiosamente, o Conti é conhecido por ser um grupo de ataque de dupla extorsão — Conti ambos exfiltram e criptografam dados para garantir o pagamento. Os dados exfiltrados são usados para chantagem de uma empresa para pagar o resgate ou vendidos ao maior concorrente. Dessa forma, mesmo se houver backups disponíveis, as empresas são pressionadas a pagar para evitar os danos que podem ser causados por um vazamento. Esse método foi popularizado pela primeira vez pelo grupo de ransomware Maze, que supostamente foi encerrado em 2020, e a partir do qual muitos membros foram recrutados para o Conti.

Como mostrado nas capturas de tela abaixo, tiradas do site do Conti, o Conti opera em uma linha do tempo de lançamento de tipos: Uma vez alertados sobre a organização da extorsão, liberam cada vez mais dos dados que exfiltraram, quanto mais tempo a vítima leva para pagá-los. O grupo não parece ter uma diretriz de preço de resgate predefinida, com alguns logs de bate-papo que vazaram mostrando aos membros do grupo discutindo o preço de resgate para as vítimas.

 

Site de vazamento do Conti, primeira página Site de vazamento do Conti, primeira página

O vazamento apresenta dois documentos que apresentam uma visão geral da metodologia de ataque à rede do Conti e suas metas de propagação. Esses documentos são direcionados aos operadores/associados de hackers do grupo. Não vimos documentação ou manuais sobre práticas iniciais de acesso, somente documentos de projeto para vários rastreadores de internet. Achamos que isso pode indicar que esse vetor é um pouco automatizado. As diretrizes do operador são usadas após a violação inicial. 

Ambos os documentos descrevem a mesma metodologia, que pode ser resumida como “coletar credenciais, propagar, repetir”. Como mencionado, presume-se que um operador tenha acesso à uma máquina na rede. Seu objetivo é começar a se propagar pela rede, primeiro tentando descarregar e descriptografar senhas ou por força bruta. Em seguida, o operador é instruído a usar credenciais na próxima máquina, expandindo seu alcance e, em seguida, repete a etapa um. Da mesma forma, os operadores aprendem que a criptografia não começa até que a dominância da rede seja atingida, o que garante que o impacto seja maximizado. 

A doutrina do ataque do Conti não é novidade. O uso de ferramentas eficazes e persistência parece fazer o truque. O processo parece ser, em sua maioria, “teclado prático”, enquanto algumas funções podem ser automatizadas ou com script, espera-se que os operadores façam o trabalho de roubar credenciais e tomar decisões conscientes sobre a distribuição na rede. 

Metas de propagação de rede

Em primeiro lugar, o objetivo de Conti é alcançar o controlador de domínio (DC). Os operadores são instruídos a trabalhar para o DC por meio do processo mencionado de roubo de credenciais e expansão. Como o processo parece ser amplamente manual, isso permite aos operadores do Conti um nível de discrição na escolha de alvos. Assim que as credenciais de administrador do domínio forem encontradas, os operadores do Conti terão acesso a vários ativos críticos: 

  • Registros de login para a maioria da rede para analisar o comportamento do usuário

  • Registros DNS para a maioria do domínio, que podem ser usados para inferir o uso

  • Hashes de senha

  • Pontos focais para movimento lateral

Esse foco no DC reforça a ideia de que a fase de propagação da rede é essencial para o ataque. A partir do DC, os invasores podem extrair a maioria (se não todas) as credenciais necessárias para acessar toda a rede. Além disso, à medida que mais configurações de domínio são geralmente armazenadas lá, os invasores ganham muita informação sobre a própria rede e suas joias da coroa.

  • Deforma curiosa, o Conti não incentiva deixar backdoors e persistência no DC e, em vez disso, incentiva o backdooring de servidores voltados para fora uma vez que um DC é muitas vezes monitorado muito mais intensamente. Embora chegar ao DC seja fundamental para o seu sucesso, também poderia frustrar totalmente seus esforços se fossem detectados.

O Conti define as joias da coroa como compartilhamentos de arquivos de rede e outras máquinas que contêm dados que podem ser exfiltrados. Esses dados incluem:

  • E-mails, listas de endereços, informações de contato

  • Bancos de dados

  • Código-fonte

  • Informações contábeis

  • Documentos de design

  • Senhas/credenciais para outras redes

  • Carteiras digitais

Guia passo a passo do Conti para domínio da rede

O Conti ilustra sua doutrina com uma diretriz técnica passo a passo sobre como obter domínio da rede. Abaixo está é uma tradução quase literal de seu método, mas um pouco mais organizada do que o texto original. Requer alguma compreensão técnica das ferramentas e dos processos usados. No entanto, para aqueles que se preocupam em defender a sua organização contra ataques semelhantes, ou aqueles que desejam emular um ataque do Conti, informações valiosas podem ser obtidas sobre o tipo de telemetria que deve aparecer durante as fases de movimentação lateral e escalonamento de privilégios. 

É provável que nem todos os operadores sigam isso ao pé da letra, mas ela deve iluminar o processo de pensamento da gangue do Conti. Se você estiver mais interessado em como diminuir a ameaça, em vez da própria ameaça, você pode pular para a nossa seção Mitigações .

 

conti5.png

  1. Consultar estrutura de domínio (usando adfind, net view etc.)

a. Às vezes, as senhas aparecerão na saída dessas ferramentas imediatamente, com alguns comentários

    2. Tente elevar os direitos O SISTEMA

    3. Se possível:

a. Envenene o cache ARP e intercepte hashes de senha de outras máquinas na rede

b. Despeje hashes de senha local

    4. Caso contrário:

a. Tente ver se outras máquinas na rede estão acessíveis, especificamente se o compartilhamento de administrador está acessível

i. Se estiver, vá para lá para obter os direitos do SISTEMA

b. Procure vulnerabilidades de RCE na rede

c. Tente o Kerberos para obter mais hashes de senha

d. Para redes pequenas, também é possível tentar forçar as senhas de usuário de forma bruta

i. Há uma ênfase especial em testar os limites de bloqueio para força bruta antes de tentar

    5. Para qualquer servidor com um diretório inetpub gravável, solte um webshell aspx

    6. Verifique a rede para ver se há outros caminhos de expansão

Kit de ferramentas do Conti 

Para atingir seus objetivos de propagação e infiltração de rede, o Conti emprega várias ferramentas, a maioria delas não são da própria produção do Conti. Na verdade, somente o crypter, o cavalo de troia e o injetor parecem ser proprietários, mas para o movimento lateral, propagação e exfiltração, o Conti parece usar uma infinidade de ferramentas que devem ser familiares a qualquer pessoa em equipes vermelhas e azuis: Cobalto Strike, Mimikatz e PsExec, entre outros.

Embora alguns leitores possam esperar ver 0days e ferramentas proprietárias, o vazamento demonstra que a eficácia de uma ferramenta ou técnica não está diretamente correlacionada com a forma como ela é nova ou desconhecida. Os leitores seriam aconselhados a prestar muita atenção às ferramentas e técnicas vazadas da documentação do Conti em um esforço para ter uma atenuação mais eficaz desses TTPs em sua própria defesa.

  • A principal ferramenta de hacking do arsenal do Conti parece ser Cobalt Strike. A maioria dos exemplos nos documentos parece ser comandos diretos para seu shell ou instruções para sua GUI.

Acesso inicial

Antes que o Conti possa começar a causar estragos dentro da rede, precisa primeiro violá-la e entrar. Como mencionado anteriormente, não há nada na documentação que defina este processo; em vez disso, parece que o Conti desenvolveu vários rastreadores e scanners que vasculharam a internet em busca de servidores exploráveis/receptivos. Esses rastreadores concederão a eles o acesso inicial a uma rede de vítimas ou os marcarão como receptivos para seus operadores e afiliados. 

⚠ A lista a seguir foi criada a partir de documentos de projeto. Não temos certeza se estão realmente implantados.

 

Serviço

Lógica do rastreador

Apache Tomcat

Procure servidores Tomcat e tente explorar a vulnerabilidade do cgi-bin

Outlook Web Access (OWA)

Rastreador de internet e força bruta de credenciais

Protocolo de Área de trabalho Remota (RDP)

Procure servidores abertos para RDP a partir da internet e tente forçar os detalhes de login de forma bruta.

Isso é independente de porta e não depende de o RDP estar no TCP 3389.

SQL

Verifique os sites que têm entradas de usuário e tente usar a injeção de SQL neles

Impressoras

Procure impressoras acessíveis pela internet e tente explorá-las usando PRET

E-mail

Spambot automático, capaz de enviar e-mails de phishing da caixa de correio local

Lateral movement

Além dos documentos de metodologia, existem manuais adicionais com exemplos concretos e guias sobre a implementação do movimento lateral — as técnicas listadas aqui são agregadas de todos eles, ordenadas pela quantidade de exemplos/referências a cada um (em ordem do mais proeminente ao menos):

  • Instrumentação de gerenciamento remoto do Windows (WMI) – usado para acionar cargas úteis remotamente usando /node:. processar criação de chamada

    • Curiosamente, os invasores às vezes o usam para acionar um BITS trabalho para baixar o malware hospedado remotamente (ou em um compartilhamento violado)

  • PsExec – a própria ferramenta Sysinternals e sua implementação Cobalt Strike são usadas para execução remota da carga útil

  • Tarefa remota programada — usando o utilitário de linha de comando SCHTASKS com o sinalizador /s para criar uma tarefa remota para executar um payload descartado

  • WinRM — este é o método de execução de código integrado em Cobalt Strike

  • EternalBlue — explorar uma vulnerabilidade de execução remota de código no SMB

  • BlueKeep — explorar uma vulnerabilidade de execução remota de código no RDP

Persistência e backdoors

A partir dos registros de bate-papo com vazamento, os únicos métodos de persistência que vimos são tarefas programadas. Adicionamos todos os nomes de tarefas e caminhos que vimos nos registros de bate-papo ao nosso Repositório do GitHub.

Outros métodos de persistência que vimos explicados num dos manuais do Conti incluem:

Além dos expostos acima, que são usados para iniciar seus beacons/reverse shells, os manuais também mencionam a instalação do AnyDesk e do altera, bem como a alteração da porta RDP (e a ativação da passagem pelo firewall do Windows) todos presumivelmente para ter outro ponto de entrada no caso de perda de comunicação (seu termo para isso é закреп, que se traduz aproximadamente em parafusado [no lugar]).

Escalonamento de privilégios

Além das ferramentas existentes de escalonamento de privilégios locais (LPE) disponíveis no Cobalt Strike, parece que o Conti usa a variante LPE do PrintNightmare para criar novos administradores locais para beacons que são executados como um usuário regular.

 

Coleta de credenciais

A maioria dos manuais de coleta de credenciais do Conti faz referência a Mimikatz, mas seu arsenal completo inclui:

  • Mimikatz

    • lsadump

    • dcsync

    • pth

    • injeção de token

    • Zerologon — explorar uma vulnerabilidade de netlogon para obter uma sessão autenticada para o controlador de domínio e redefinir a senha krbtgt

  • Kerberos — usado para quebrar senhas de usuário do serviço kerberos de tíquetes de serviço

  • Zerologon – desta vez usado como um módulo de exploração POST Cobalt Strike para adquirir uma sessão de login no DC para executar o dcsync

  • O escalonador de credenciais, provavelmente um desenvolvimento interno, verifica o sistema de arquivos local em busca de senhas de usuário armazenadas em arquivos de texto e documentos

Evasão de defesa

O Conti tem várias maneiras de evitar a detecção. O principal (e mais surpreendente) é garantir que suas ferramentas liberadas não acionem a detecção em primeiro lugar.

A documentação do Conti inclui evidências de que eles testam as suas ferramentas e técnicas contra vários antivírus conhecidos. Isso inclui testar que seus droppers e injetores não acionam vários mecanismos antivírus. Para isso, usam máquinas locais que executam os mecanismos antivírus e dyncheck, uma plataforma que permite o upload e a análise de amostras (semelhante ao VirusTotal, embora pareça não estar acessível no momento).

Em particular, os invasores estão interessados nos seguintes mecanismos de antivírus:

  • Windows Defender

  • ESET Nod32

  • Avast Home

  • Antivírus Kaspersky

  • Bitdefender

Além disso, o Conti tem alguns manuais sobre o encerramento do Windows Defender, seja através da manipulação da política do anfitrião para o desligar ou através da eliminação do seu serviço. Parece que é dada atenção especial ao serviço, provavelmente devido ao seu uso generalizado em organizações-alvo.

A backdoor persistente recebe endereços de comando e controle de métodos ofuscados, o que também ajuda a evitar a detecção:

  • emercoin dns

  • Cache do Google

  • transações bitcoin

Não é recomendado salvar arquivos no disco, e scripts/lolbins são a maneira preferida de trabalhar. Os arquivos salvos no disco devem ser ocultados usando esteganografia (em imagens ou arquivos de certificado) ou de uma forma que possa ser facilmente listada (registro, fluxos de arquivo).

Mitigações

Como a superfície de ataque é multifacetada, sua defesa também deve ser multicamadas, não há uma solução que possa mantê-lo imediatamente seguro. Como podemos ver na metodologia de ataque, há um processo sofisticado antes que a primeira instância de ransomware seja implantada, o que nos dá a oportunidade de detectar e responder ao ataque.

Para obter uma correlação entre o método de ataque e sua mitigação, consulte Resumo: Kit de ferramentas do Conti.

Controle de acesso e confiança zero

O Conti depende muito dos usuários existentes e suas credenciais para movimento lateral e acesso. Impor o controle sobre quem pode acessar o que e onde, e separar propositadamente usuários avançados das atividades diárias, pode inibir e desacelerar muito o processo de movimento lateral. Também permite uma superfície de detecção muito maior.

Segmentation

Além de controlar o acesso do usuário, você também pode controlar os caminhos de comunicação. Desabilitar protocolos que podem ser usados para movimentação lateral (RPC, RDP, WinRM, SSH etc.) entre os pontos de extremidade do usuário, restringir o acesso a compartilhamentos de arquivos (ou desativá-los totalmente em qualquer coisa que não seja um servidor de arquivos) e limitar o acesso a bancos de dados e servidores de backup pode reduzir bastante a superfície de ataque à rede.

Para obter um pouco mais de granularidade, os métodos de movimento lateral que dependem de RPC (como WMI remoto, tarefas agendadas remotas e psexec) também podem ser controlados no nível do sistema operacional, usando Filtros RPC.

Web Application Firewall

Antes que qualquer ataque possa se propagar dentro da sua rede, o invasor precisa se colocar nele. Nos casos do Conti, seus rastreadores e vetores de acesso inicial incluem phishing (spam) e exploração de serviços voltados para a internet (OWA, injeção de SQL, Apache Tomcat cgi-bin). Na maioria dos casos, um bom Web Application Firewall deve bloquear a maioria das tentativas do invasor de ganhar esse ponto inicial na rede.

Inventário de software e gerenciamento de patches

Acompanhar o que o software está instalado e onde ele está instalado pode ajudar a detectar adições indesejadas. Isso é válido para as portas traseiras de Atera e AnyDesk do Conti, e também para outros ataques. (olhando para você, LAPSUS, com seu procexp e ProcessHacker.) Além disso, o gerenciamento de patches também pode manter seus chestnuts fora do fogo. Nenhuma das explorações discutidas neste blog é recente; os patches foram lançados há muito tempo. Apesar disso, o Conti e outros grupos conseguiram ser bem-sucedidos porque muitos servidores permanecem sem patches.


Detecção de malware — EDR/AV

Esta é a última linha de defesa nas máquinas da rede. Uma boa (e atualizada) solução de deteção e resposta de endpoint (EDR) ou antivírus (AV) pode ajudar a detectar e bloquear as ferramentas usadas durante o ataque. Trata-se de um jogo de gato e rato (como vimos que o Conti testa se as suas ferramentas ignoram a deteção), mas é melhor ter um gato que, por vezes, captura ratos do que nenhum gato e uma infestação de rato.

Atualmente, alguns EDRs também afirmam ser capazes de detectar e evitar ransomware heuristicamente, quando ele começa a criptografar seu host. Não faremos reivindicações sobre a taxa de eficiência deste recurso, mas é algo a considerar.

Conclusão

Embora ainda haja muito desconhecido sobre o Conti e outros grupos de ransomware, esses documentos deram à comunidade de segurança uma visão em primeira mão de uma organização de criminosos virtuais. Essas informações são inestimáveis à medida que continuamos a lutar contra elas e contra ransomware em geral. 

Tornou-se um pouco exagerado dizer que precisamos entender o ponto de vista do invasor, mas há muita verdade sobre isso. Ao considerar o Conti como uma operação de negócios cuja estratégia de entrada no mercado vazou, podemos agir como seus concorrentes de certa forma, usando sua própria propriedade intelectual contra eles. 

Nenhuma das ferramentas que o Conti está usando é particularmente nova. Os operadores do Conti têm muitas ferramentas e métodos que empregam para infetar e, eventualmente, criptografar redes de destino, mas todos eles são conhecidos por nós. Não são ameaças únicas de dia zero, são TTPs de “conhecimento comum” que também são empregados por equipes vermelhas em todos os lugares.

Apesar disso, eles ainda têm grande sucesso. “Se não estiver quebrado, não o corrija”, como dizem. Isso dá suporte à ideia de que as equipes de segurança precisam dar uma olhada em como estão se aproximando da defesa. Zero dias podem fazer as manchetes, mas os ataques fundamentais ganham dinheiro.

A dominação da rede é o objetivo. Geralmente, ao discutir ransomware, há mais ênfase no ato real de criptografia. A verdade, no entanto, que queríamos mostrar com este post, é que há um longo processo que deve ocorrer antes que qualquer criptografia possa até mesmo começar. Desta vez, nossa discussão é apoiada pela documentação real do operador de ransomware. Considerando a proporção entre documentação de hacking e documentação de criptografia, fica claro que o principal problema é com hacking (violação de rede, movimentação lateral e propagação, evitando a deteção) em vez de apenas criptografia e exfiltração de dados. 

Isso é, na verdade, um pouco de um revestimento prateado. Esse conhecimento demonstra que a superfície de deteção que nós, como defensores, podemos empregar é muito mais ampla do que parece — precisamos apenas alcançá-la e utilizá-la. Só porque esses TTPs não são novos não os tornam triviais. Se fossem, eles não seriam usados por um dos grupos de ransomware mais bem-sucedidos ativos atualmente. Essa documentação e análise sustenta que nós, como comunidade, precisamos olhar o ransomware de forma mais holística do que apenas a criptografia. Ao nos concentrarmos principalmente no aspecto de criptografia do ransomware, estamos perdendo uma ampla superfície de detecção que pode ser a diferença entre um incidente e um título. 

Resumo: Kit de ferramentas do Conti

Agregamos a seguinte tabela de TTPs do Conti e possíveis medidas de mitigação para eles:

Categoria

Método

Descrição

Mitigação

Ferramentas de ataque

Cobalt Strike

Ferramentas comerciais de acesso remoto projetadas para equipes vermelhas, mas frequentemente mal utilizadas por operadores de malware

• EDR/AV

• Segmentação

• Controle de acesso

Trickbot

Spyware cavalo de Troia

Lateral Movement

PSExec

Ferramenta Microsoft gratuita para execução remota de programas

• Segmentação

• Controle de acesso

• Filtros RPC

WMI remoto

Recurso de administração da Microsoft capaz de executar programas remotos

Agendador de Tarefas remoto

WinRM

Serviço e protocolo do Windows para gerenciamento remoto de host

BlueKeep

Uma vulnerabilidade de execução remota de código no Microsoft RDP

• Gerenciamento de patches

• Segmentação

• Controle de acesso

EternalBlue

Uma vulnerabilidade de execução remota de código no Microsoft SMB

Escalonamento de privilégios

PrintNightmare

Uma vulnerabilidade de execução remota de código no serviço Window Print Spooler

 

• Gerenciamento de patches

 

Coleta de credenciais

Mimikatz

Dumper de credenciais de código aberto

 

• EDR/AV

 

ZeroLogin

Uma vulnerabilidade de elevação de privilégio no MS-NRPC

• Gerenciamento de patches

• Segmentação

• Controle de acesso

• Filtros RPC

Backdoor

AnyDesk, Atera

Software de acesso remoto

• Gerenciamento de inventário de software

Webshells

Eliminação de webshells em servidores da web violados

 

• EDR/AV

 

RDP

Protocolo da área de trabalho remota do Windows

• Segmentação

• Controle de acesso

Técnicas de persistência

Vários métodos de persistência para carregar um bot/conta-gotas

• EDR/AV

Prevenção de detecção

Desativar o Windows Defender

Desativar o antivírus para evitar a deteção de malware

• EDR/AV

• Gerenciamento de inventário de software

Obfuscation

Codificação de C2 endereços e comunicação para inibir a detecção

• EDR/AV

• IDS

Acesso inicial

Outlook Web Access (OWA

Acesso de força bruta à interface do Outlook web para espalhar e-mails de phishing

• Web Application Firewall

RDP

Força bruta para o acesso a servidores voltados para a internet com RDP aberto

• Segmentação

• Controle de acesso

SQL

Tentativa de injeção de SQL em sites com entrada do usuário

• EDR/AV

• IDS

• Web Application Firewall

Impressoras

Usar kits de exploração em impressoras abertas para a internet

• Gerenciamento de patches

• Segmentação

• Controle de acesso

Apache Tomcat Scanner

Tentativa de explorar servidores Apache Tomcat

• Web Application Firewall

E-mail

Usar um spambot para espalhar e-mails de phishing em caixas de correio/hosts comprometidos

• EDR/AV

Referências

Embora tenhamos lido todos os arquivos de documentação do vazamento, alguns arquivos continham mais informações do que outros. Listamos todos os arquivos que contêm as informações usadas para escrever esta publicação de blog. Seguimos a árvore de pastas de vx-underground.

  • Conti Toolkit Leak/

    • Мануали для работяг и софт/

      • MANUALS/

        • МАНУАЛ.txt

        • Заменяем sorted адфиндера.txt

        • ПРОСТАВЛЕНИЕ.txt

        • Меняем RDP порт.txt

        • по отключению дефендера.txt

        • ПЕРВОНАЧАЛЬНЫЕ ДЕЙСТВИЯ.txt

      • CobaltStrike MANUAL_V2 .docx

  • Conti Documentation Leak/

    • docs/

      • modules/

        • ТЗ доработка модуля распространения.txt

        • ТЗ автоматизация чистки.txt

        • требования к лоадеру.txt

        • ТЗ бэкдор.txt

        • сканер apache tomcat.txt

        • ТЗ брут OWA.txt

        • ТЗ сканер rdp.txt

        • ТЗ сканер sql инъекций2.txt

        • ТЗ сканер принтеров.txt

        • ТЗ спамбот.txt

      • misc/

        • ТЗ автоматизация группового тестирования в криптопанели.txt

      • management/

        • чистка АВ.txt

      • быстрый старт хакера.txt



Akamai blue wave

Written by

Stiv Kupchik

April 05, 2022

Senior Security Researcher,  based in Tel Aviv, IL