kaiyun官方注册
您所在的位置: 首页> 通信与网络> 业界动态> 俄乌冲突引发网络武器库泄露:Conti泄露数据全面分析

俄乌冲突引发网络武器库泄露:Conti泄露数据全面分析

2022-03-18
来源:互联网安全内参
关键词: 武器库泄露 Conti

  俄乌冲突引发民间网络安全能力者的分裂,Conti勒索软件选择站队俄罗斯,引发一名乌克兰安全研究人员的愤怒,开始疯狂地公开泄露Conti内部数据;

  据分析,泄露数据包括Conti勒索软件代码、TrickBot木马代码、Conti培训材料、Conti/TrickBot内部交流的各种攻击技巧等,已然是一个小型网络武器库;

  这些泄露数据可谓双刃剑,安全研究人员可以了解Conti的策略、代码开发、货币化方式、潜在成员身份等信息,采取更可靠的防御手段;恶意软件开发者也可以利用这批数据,指导开发更多类似TrickBot的恶意软件。

  安全内参此前有分析,俄乌冲突引发了民间网络安全能力者的分裂,从乌克兰地下黑客、俄罗斯民间“网络卫士”到勒索软件组织、国际黑客组织,多方势力纷纷表态和行动,为此次冲突增加了更多复杂性。

  其中,Conti勒索软件选择站在俄罗斯一方,这引发了一名乌克兰安全研究人员的愤怒。

  据安全内参追踪了解,上周日(2月27日),这名研究员首次公开泄露Conti团伙内部超6万条聊天消息(2021.1-2022.2),周一(3月1日)又公开泄露了Conti团伙的超10万条聊天消息(2020.6该团伙首次公开出手-2020.11)、泄露账号密码数据库、Conti源代码等。

  安全厂商CyberArk对这批泄露数据(代号:ContiLeaks)进行了分析,让我们一起看看里边都有什么吧。

  第二次泄露都有些什么?

  ContiLeaks公开的这批文件可谓新鲜出炉,不少文件甚至来自3月1日。

  ContiLeaks截至3月1日的数据转储内容。

  下面,我们就对泄露数据逐个分析,看看它们在研究人员手中能发挥哪些作用。

  聊天记录

  此次泄露的聊天内容主要是Conti团伙内部的交流信息,时间跨度为2020年6月-11月。分析发现,其中一位用户“经常向其他全体用户发送垃圾邮件”。

  研究人员可以从聊天记录收集Conti团伙使用的用户名,“一起揪出Conti团伙的所有成员。”

  管理面板源代码

  快速浏览泄露内容后,研究人员们推测Conti团伙使用的大部分代码来自开源软件。比如yii2、Kohana两个PHP框架,“(似乎)被用于构建管理面板” 。

  “其中大部分代码使用PHP编写,由Composer负责管理,唯一例外的是一个用Go编写的工具。”这些代码库还包含相应的配置文件,其中列出了本地数据库的用户名和密码,以及一些公共IP地址。

  Pony恶意软件窃取的凭证

  Conti Pony Leak 2016.7z文件主要是泄露电子邮件账号密码库,来自gmail.com、mail.ru、yahoo.com等邮件服务商。很明显,这是由Pony凭证窃取恶意软件从各种来源盗窃来的。Pony的历史至少可以追溯到2018年,是诈骗分子们最喜爱的凭证盗窃软件之一。

  压缩包内还包含来自FTP/RDP与SSH服务、以及其他多个不同网站的凭证。

  TTP

  Conti Rocket Chat Leaks.7z中包含Conti团伙成员关于攻击目标、攻击手段的聊天记录。他们会讨论攻击目标,并运用Cobalt Strike实施攻击。

  Conti团伙成员们在交谈中提到过以下攻击技术:

  Active Directory枚举

  通过sqlcmd进行SQL数据库枚举

  如何访问Shadow Protect SPX(StorageCraft)备份

  如何创建NTDS转储与vssadmin

  如何打开新RDP端口1350

  涉及以下工具:

  Cobalt Strike

  Metasploit

  PowerView

  ShareFinder

  AnyDesk

  Mimikatz

  Conti Locker v2源代码

  与可能无效的解密器

  此次泄漏文件还包含Conti Locker v2源代码。这部分代码在一个受密码保护的zip文件中,解开之后再无其他保护措施。

  除了Conti勒索软件的v2源代码外,还有一个解密器源代码。但有推特网友称,这款解密器已经没法使用。

  Marcus证实,“我听说解密器不是最新版本,也没法正常使用。”

  他猜测,泄露的解密器可能是Conti提供给已支付赎金受害者的版本。

  解密器的工作原理有点像对受密码保护的文件进行解压,只是整个过程更复杂、具体设计因不同勒索软件家族而异。

  Marcus还提到,“有些解密器内置在独立二进制文件中,有些则可以远程启用。它们通常会内置密钥。”

  Conti团伙培训材料

  此次泄露文件还有培训材料,有俄语在线课程视频、也有以下TTP清单的具体操作方法:

  破解/Cracking

  Metasploit

  网络渗透

  Cobalt Strike

  使用PowerShell进行渗透

  Windows红队攻击

  WMI攻击(与防御)

  SQL Server

  Active Directory

  逆向工程

  Conti团伙的俄语培训材料。

  TrickBot泄露

  另一个泄露文件是TrickBot木马/恶意软件论坛的聊天内容,内容涵盖2019-2021年的大量消息。

  里边大多数内容是在讨论如何实现网络横向移动、如何使用某些工具,以及一些关于TrickBot和Conti团伙的TTP信息。

  例如,在一封帖子中,某位成员分享了他的webshell,并表示“这是我用过的最轻量级、最耐用的webshell”。

  其中还包含2021年7月上旬Conti团伙利用Zerologon等漏洞的证据。这并不奇怪,毕竟从2020年9月开始,GitHub上先后出现过4个针对此漏洞的PoC,以及大量漏洞技术细节。

  其他泄露内容还包括用Erlang编写的服务器端组件:trickbot-command-dispatcher-backend、trickbot-data-collector-backend,被称为lero与dero。

  感想上帝提供的易读性代码!有推特网友感叹,“终于有值得翻阅的内容了(Conti Trickbot Leaks.7z)——这些Erlang代码整洁、可复用,比几个开源Erlang服务器示例要更好。”

  TrickBot代码泄露可能导致…

  更好的TrickBot出现

  数据泄露会减缓TrickBot攻击者的恶意活动吗?真的未必,因为攻击者似乎已经对Zanax发动过几波打击。

  上周(2月24日),安全厂商Intel 471的研究人员发布一份报告,讲述TrickBot恶意软件团伙如何在一段漫长的停顿期后卷土重来。如果不是最近再次观察到行动,研究人员还以为他们突然消失了。自2021年12月28日到2022年2月17日,研究人员没有观察到TrickBot团伙的任何恶意活动。

  研究人员当时认为,这次停顿可能是由于TrickBot团伙开始将业务重点转向合作开发恶意软件,例如Emotet。

  ContiLeaks数据泄露事件很可能扭转局势,但不一定会变得更好。威胁情报厂商LookingGlass威胁情报高级主管David Marcus表示,随着安全研究人员对数据的持续剖析,此次泄露将产生“重大长期影响”,“我们将了解对方的策略、代码开发、货币化方式、潜在成员身份等信息。”

  但代码泄露本身也是一把双刃剑,他认为“从防御的角度看,这会帮助研究人员更好地了解TrickBot工作原理,进而采取更可靠的防御手段。但另一方面,这些源代码也将流入其他恶意软件开发者手中,指导他们开发出更多类似TrickBot的恶意软件。”

  Conti团伙并不在乎

  出了这么大的乱子,Conti团伙现在应该很紧张吧?但事实并非如此。

  威胁情报公司Advanced Intelligence(AdvInt)研究主管Yelisey Boguslavskiy表示,他们的主要情报来源都没有显示出这会影响Conti。

  他解释道,“这次泄露只涉及Conti内部6支小组中的1支。虽然这个组似乎地位最高,但其他小组确实丝毫未受影响。Conti只是简单重启了所有基础设施,然后继续照常运行。”




微信图片_20220318121103.jpg

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。
Baidu
map