Conti勒索集团内部核心资料分析

  • A+
所属分类:安全新闻


赶紧点击上方话题进行订阅吧!

报告编号:B6-2021-081201

报告来源:360高级威胁分析中心

报告作者:360高级威胁分析中心

更新日期:2021-08-12


1
 摘要



2021年8月5日,Conti网络犯罪团伙因内部分赃不均导致其下属组织将其内部资料以及工具公开,其中部分已被上传至暗网论坛,而另一部分文件则仅展示了文件列表的截图。

从该下属组织发布的消息看,他们之所以会发布这些资料,是因为在一次攻击事件中虽然收取了高达数百万美元的赎金,但该下属组织却仅得到了1500美元,其余部分则全部被Conti的核心团队占有。

Conti勒索集团内部核心资料分析

上图为此次反水的下属组织在论坛的发言

Conti勒索集团内部核心资料分析

上图为目前尚未被公开发布的文件截图


2
 分析



此次被该下属组织公开的文件总共51个,其中大部分的文件名以及操作手册内容都使用到了俄语。而这些被公开的文件中包含了窃取数据、检测杀软、对抗杀软、网络扫描、远程控制等各方面的工具。

下表是一些被公开出来的主要文件以及其内容或功能的说明:

文件名 文件内容/功能说明
3 # AV.7z 进程管理工具、杀软对抗工具
ad_users.txt 如何获取域内账户
CS4.3_Clean ahsh4veaQu .7z CobaltStrike工具
DAMP NTDS.txt 查找并提取磁盘最新的卷影副卷
domains.txt 域名列表
enhancement-chain.7z 开源软件,了解杀软安装情况、对抗杀软等
Kerber-ATTACK.rar Kerberoast攻击脚本以及说明书
NetScan.txt NetScan扫描工具介绍
p.bat 查询当前域名
PENTEST SQL.txt PowerUpSQL模块github链接,用于快速发现ADS域中的SQL Server
ProxifierPE.zip Socks5客户端
RDP NGROK.txt 内网穿透工具ngrok下载地址以及使用介绍
RMM_Client.exe 远程软件
Routerscan.7z 路由器扫描工具
RouterScan.txt 使用Routerscan情景介绍
SQL DAMP.txt SQL查询语句,针对数据库的攻击
Аллиасы для мсф.rar msf模块使用
Анонимность для параноиков.txt 针对热衷隐藏痕迹的建议
ДАМП LSASS.txt 转存储LSASS
Если необходимо отсканить всю сетку одним листом.txt 对如何获取整个网络
Закреп AnyDesk.txt 配置AnyDesk远程工具
Заменяем sorted адфиндера.txt 创建计划任务
КАК ДЕЛАТЬ ПИНГ (СЕТИ).txt 如何PING(网络)
КАК ДЕЛАТЬ СОРТЕД СОБРАННОГО АД!!!!.txt 如何从网络中对手机的AD进行排序
КАК И КАКУЮ ИНФУ КАЧАТЬ.txt 如何窃取数据,窃取什么类型的数据
КАК ПРЫГАТЬ ПО СЕССИЯМ С ПОМОЩЬЮ ПЕЙЛОАД.txt 如何使用有效负载跳转会话
Личная безопасность.txt 使用VeraCrypt加密磁盘
Мануал робота с AD DC.txt 工作手册附AD DC
МАНУАЛ.txt 手册
Меняем RDP порт.txt 更改RDP端口
ОТКЛЮЧЕНИЕ ДЕФЕНДЕРА ВРУЧНУЮ.txt 关闭UC、各种AV防护
параметр запуска локера на линукс версиях.txt linux上启动locker的参数versions
ПЕРВОНАЧАЛЬНЫЕ ДЕЙСТВИЯ.txt 攻击的初始步骤
по отключению дефендера.txt 禁用defender
ПОВИЩЕНИЯ ПРИВИЛЕГИЙ.txt github链接,用于提升特权
поднятие прав (дефолт).txt 提升权限(默认)
Получение доступа к серверу с бекапами Shadow Protect SPX (StorageCraft).txt 通过备份Shadow Protect SPX (StorageCraft) 访问服务器
ПРОСТАВЛЕНИЕ.txt 收集域信息
Рабочая станция на работу через Tor сет?ь.txt Tor使用解决方案
Рабочий скрипт создания VPS сервера для тестирования на проникноваение от A до Z.txt 创建VPS服务器的工作脚本,用于从A到Z的渗透测试
рклон.zip rclone,一个用于和同步云平台同步文件和目录命令行工具
Сайт создание батникоd.txt 在线数据转换器
Скрипт для sorted .rar 获取域账户脚本
СМБ АВТОБРУТ.txt SMB爆破教程
СНЯТИЕ-AD.rar 删除AD
Список ТГ форумов, много интересного.txt Telegram上一些发布安全情报相关的账户
Установка метасплойт на впс.txt 在VPS上安装 metasploit
хантинг админов, прошу ознакомиться, очень полезно!!.txt 如何发现管理员账户
Эксплуатация CVE-2020-1472 Zerologon в Cobalt Strike.txt 通过Cobalt Strike使用CVE-2020-1472 Zerologon漏洞攻击模块
это установка армитажа. ставится поверх Metasploit 在 Metasploit 上安装armitage
рклон rclone相关文件

主要文件名及其内容/功能说明

在此次公开的内容中,还有一份详细的攻击教程。该教程很详细的列出该团伙的攻击步骤,其大体的攻击思路主要分为以下几个方面:

1. 通过获取设备访问权限,了解设备所属公司,再重点了解该公司的收入情况等。

2. 通过获取设备访问权限,在内网继续横向渗透。获取跟多设备权限后部署远控软件,为后续攻击操作做好准备。

3. 在内网设备中扫描文件,通过文件名认定可能有价值的文件。并利用同步数据软件回传这些数据。例如:“会计”、“银行”、“2020”、“2021”、“保险”、“条款”等都是他们认为可能有价值的文件名关键词。

4. 部署勒索软件,准备针对性事件报告:详细列出受害者官网地址、收入情况、企业规模等信息。

在研究泄露的俄语攻击教程文档时,我们发现他们采用的攻击手法并不算新颖:会先通过扫描本地的口令、凭证等获取更多设备的权限。而对于黑客而言,最重要的是通过该设备去了解当前设备所在域的整体架构,并尽可能去尝试攻击IT部门的相关设备(这样更有可能拿到域管理员权限或是域控设备)。该攻击阶段,采用到了多个公开的漏洞,例如“永恒之蓝”、ZeroLogon、PrintNightmare等。而在成功获取到域控/域管理员权限后,攻击者就可以通过组策略向域内的所有设备进行下发恶意程序、窃取数据、部署勒索等一系列操作。

Conti勒索集团内部核心资料分析

Conti勒索团伙采用常见的RaaS(勒索即服务)的模式运行:由核心团队管理恶意软件和TOR站点,再由招募到的一些外围分支或下属机构执行数据窃取和勒索部署的工作。按照此前披露的消息,核心团队在每次勒索成功后可以赚取20%~30%的赎金,其余部分则归具体实施的组织所有。但此次事件中,该下属组织明显没有获取到传言中的比例——仅拿到1%左右的分成。这还可能导致今后Conti更加难以招募到下属组织。

Conti勒索集团内部核心资料分析

Conti勒索软件家族最早出现于2020年1月,截止2021年8月10日,该家族已成功攻击至少475个组织并窃取其数据,其中绝大部分的数据已被不同程度的公开。其中不乏一些大型事件:

- 2020年8月,大众汽车集团遭遇Conti勒索软件攻击,超8000张发票遭遇窃取

- 2020年12月,工业物联网厂商Advantech遭遇Conti勒索软件攻击,被所要750个比特币

- 2021年1月,苏格兰环境监管机构遭遇Conti勒索软件攻击,被窃取1.2GB重要数据

- 2021年1月,英国品牌服装FatFace遭遇Conti勒索软件攻击导致客户数据泄露

- 2021年1月,苏格兰环保局遭遇Conti攻击,被窃取1.2GB数据

- 2021年2月,佛罗里达学校遭遇Conti勒索软件攻击,被所要4000万美元赎金

- 2021年5月,爱尔兰医疗机构HSE遭遇Conti攻击,被所要2000万美元赎金

- 2021年5月,美国FBI发布紧急预警,16个美国健康和紧急服务机构遭遇Conti勒索软件攻击


3
 产品侧解决方案



若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

360AISA全流量威胁分析系统

针对微软本次安全更新,360AISA已基于流量侧提供对应检测能力更新,请AISA用户联系[email protected]获取更新,尽快升级检测引擎和规则,做好安全防护工作。

Conti勒索集团内部核心资料分析

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。

Conti勒索集团内部核心资料分析

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

Conti勒索集团内部核心资料分析

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

Conti勒索集团内部核心资料分析

360终端安全管理系统

360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。

360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。

Conti勒索集团内部核心资料分析


4
 时间线



2021-08-12 360高级威胁分析中心发布通告


5
 特制报告下载链接



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

Conti勒索集团内部核心资料分析

http://certdl.qihucdn.com/cert-public-file/forward_event_anaylze/【360CERT】Conti勒索集团内部核心资料分析.pdf

若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

Conti勒索集团内部核心资料分析




往期推荐
01

2021-08 补丁日: 微软多个产品漏洞安全更新通告

02

2021年7月勒索病毒流行态势分析

03

《网络安全七月月报》(附下载链接)


Conti勒索集团内部核心资料分析
360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们
Conti勒索集团内部核心资料分析


Conti勒索集团内部核心资料分析
点击在看,进行分享
Conti勒索集团内部核心资料分析

本文始发于微信公众号(三六零CERT):Conti勒索集团内部核心资料分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: