报告编号:B6-2021-081201
报告来源:360高级威胁分析中心
报告作者:360高级威胁分析中心
更新日期:2021-08-12
2021年8月5日,Conti网络犯罪团伙因内部分赃不均导致其下属组织将其内部资料以及工具公开,其中部分已被上传至暗网论坛,而另一部分文件则仅展示了文件列表的截图。
从该下属组织发布的消息看,他们之所以会发布这些资料,是因为在一次攻击事件中虽然收取了高达数百万美元的赎金,但该下属组织却仅得到了1500美元,其余部分则全部被Conti的核心团队占有。
上图为此次反水的下属组织在论坛的发言
上图为目前尚未被公开发布的文件截图
此次被该下属组织公开的文件总共51个,其中大部分的文件名以及操作手册内容都使用到了俄语。而这些被公开的文件中包含了窃取数据、检测杀软、对抗杀软、网络扫描、远程控制等各方面的工具。
下表是一些被公开出来的主要文件以及其内容或功能的说明:
| 文件名 | 文件内容/功能说明 |
|---|---|
| 3 # AV.7z | 进程管理工具、杀软对抗工具 |
| ad_users.txt | 如何获取域内账户 |
| CS4.3_Clean ahsh4veaQu .7z | CobaltStrike工具 |
| DAMP NTDS.txt | 查找并提取磁盘最新的卷影副卷 |
| domains.txt | 域名列表 |
| enhancement-chain.7z | 开源软件,了解杀软安装情况、对抗杀软等 |
| Kerber-ATTACK.rar | Kerberoast攻击脚本以及说明书 |
| NetScan.txt | NetScan扫描工具介绍 |
| p.bat | 查询当前域名 |
| PENTEST SQL.txt | PowerUpSQL模块github链接,用于快速发现ADS域中的SQL Server |
| ProxifierPE.zip | Socks5客户端 |
| RDP NGROK.txt | 内网穿透工具ngrok下载地址以及使用介绍 |
| RMM_Client.exe | 远程软件 |
| Routerscan.7z | 路由器扫描工具 |
| RouterScan.txt | 使用Routerscan情景介绍 |
| SQL DAMP.txt | SQL查询语句,针对数据库的攻击 |
| Аллиасы для мсф.rar | msf模块使用 |
| Анонимность для параноиков.txt | 针对热衷隐藏痕迹的建议 |
| ДАМП LSASS.txt | 转存储LSASS |
| Если необходимо отсканить всю сетку одним листом.txt | 对如何获取整个网络 |
| Закреп AnyDesk.txt | 配置AnyDesk远程工具 |
| Заменяем sorted адфиндера.txt | 创建计划任务 |
| КАК ДЕЛАТЬ ПИНГ (СЕТИ).txt | 如何PING(网络) |
| КАК ДЕЛАТЬ СОРТЕД СОБРАННОГО АД!!!!.txt | 如何从网络中对手机的AD进行排序 |
| КАК И КАКУЮ ИНФУ КАЧАТЬ.txt | 如何窃取数据,窃取什么类型的数据 |
| КАК ПРЫГАТЬ ПО СЕССИЯМ С ПОМОЩЬЮ ПЕЙЛОАД.txt | 如何使用有效负载跳转会话 |
| Личная безопасность.txt | 使用VeraCrypt加密磁盘 |
| Мануал робота с AD DC.txt | 工作手册附AD DC |
| МАНУАЛ.txt | 手册 |
| Меняем RDP порт.txt | 更改RDP端口 |
| ОТКЛЮЧЕНИЕ ДЕФЕНДЕРА ВРУЧНУЮ.txt | 关闭UC、各种AV防护 |
| параметр запуска локера на линукс версиях.txt | linux上启动locker的参数versions |
| ПЕРВОНАЧАЛЬНЫЕ ДЕЙСТВИЯ.txt | 攻击的初始步骤 |
| по отключению дефендера.txt | 禁用defender |
| ПОВИЩЕНИЯ ПРИВИЛЕГИЙ.txt | github链接,用于提升特权 |
| поднятие прав (дефолт).txt | 提升权限(默认) |
| Получение доступа к серверу с бекапами Shadow Protect SPX (StorageCraft).txt | 通过备份Shadow Protect SPX (StorageCraft) 访问服务器 |
| ПРОСТАВЛЕНИЕ.txt | 收集域信息 |
| Рабочая станция на работу через Tor сет?ь.txt | Tor使用解决方案 |
| Рабочий скрипт создания VPS сервера для тестирования на проникноваение от A до Z.txt | 创建VPS服务器的工作脚本,用于从A到Z的渗透测试 |
| рклон.zip | rclone,一个用于和同步云平台同步文件和目录命令行工具 |
| Сайт создание батникоd.txt | 在线数据转换器 |
| Скрипт для sorted .rar | 获取域账户脚本 |
| СМБ АВТОБРУТ.txt | SMB爆破教程 |
| СНЯТИЕ-AD.rar | 删除AD |
| Список ТГ форумов, много интересного.txt | Telegram上一些发布安全情报相关的账户 |
| Установка метасплойт на впс.txt | 在VPS上安装 metasploit |
| хантинг админов, прошу ознакомиться, очень полезно!!.txt | 如何发现管理员账户 |
| Эксплуатация CVE-2020-1472 Zerologon в Cobalt Strike.txt | 通过Cobalt Strike使用CVE-2020-1472 Zerologon漏洞攻击模块 |
| это установка армитажа. ставится поверх Metasploit | 在 Metasploit 上安装armitage |
| рклон | rclone相关文件 |
主要文件名及其内容/功能说明
在此次公开的内容中,还有一份详细的攻击教程。该教程很详细的列出该团伙的攻击步骤,其大体的攻击思路主要分为以下几个方面:
1. 通过获取设备访问权限,了解设备所属公司,再重点了解该公司的收入情况等。
2. 通过获取设备访问权限,在内网继续横向渗透。获取跟多设备权限后部署远控软件,为后续攻击操作做好准备。
3. 在内网设备中扫描文件,通过文件名认定可能有价值的文件。并利用同步数据软件回传这些数据。例如:“会计”、“银行”、“2020”、“2021”、“保险”、“条款”等都是他们认为可能有价值的文件名关键词。
4. 部署勒索软件,准备针对性事件报告:详细列出受害者官网地址、收入情况、企业规模等信息。
在研究泄露的俄语攻击教程文档时,我们发现他们采用的攻击手法并不算新颖:会先通过扫描本地的口令、凭证等获取更多设备的权限。而对于黑客而言,最重要的是通过该设备去了解当前设备所在域的整体架构,并尽可能去尝试攻击IT部门的相关设备(这样更有可能拿到域管理员权限或是域控设备)。该攻击阶段,采用到了多个公开的漏洞,例如“永恒之蓝”、ZeroLogon、PrintNightmare等。而在成功获取到域控/域管理员权限后,攻击者就可以通过组策略向域内的所有设备进行下发恶意程序、窃取数据、部署勒索等一系列操作。
Conti勒索团伙采用常见的RaaS(勒索即服务)的模式运行:由核心团队管理恶意软件和TOR站点,再由招募到的一些外围分支或下属机构执行数据窃取和勒索部署的工作。按照此前披露的消息,核心团队在每次勒索成功后可以赚取20%~30%的赎金,其余部分则归具体实施的组织所有。但此次事件中,该下属组织明显没有获取到传言中的比例——仅拿到1%左右的分成。这还可能导致今后Conti更加难以招募到下属组织。
Conti勒索软件家族最早出现于2020年1月,截止2021年8月10日,该家族已成功攻击至少475个组织并窃取其数据,其中绝大部分的数据已被不同程度的公开。其中不乏一些大型事件:
– 2020年8月,大众汽车集团遭遇Conti勒索软件攻击,超8000张发票遭遇窃取
– 2020年12月,工业物联网厂商Advantech遭遇Conti勒索软件攻击,被所要750个比特币
– 2021年1月,苏格兰环境监管机构遭遇Conti勒索软件攻击,被窃取1.2GB重要数据
– 2021年1月,英国品牌服装FatFace遭遇Conti勒索软件攻击导致客户数据泄露
– 2021年1月,苏格兰环保局遭遇Conti攻击,被窃取1.2GB数据
– 2021年2月,佛罗里达学校遭遇Conti勒索软件攻击,被所要4000万美元赎金
– 2021年5月,爱尔兰医疗机构HSE遭遇Conti攻击,被所要2000万美元赎金
– 2021年5月,美国FBI发布紧急预警,16个美国健康和紧急服务机构遭遇Conti勒索软件攻击
若想了解更多产品信息或有相关业务需求,可移步至http://360.net。
360AISA全流量威胁分析系统
针对微软本次安全更新,360AISA已基于流量侧提供对应检测能力更新,请AISA用户联系[email protected]获取更新,尽快升级检测引擎和规则,做好安全防护工作。
360安全分析响应平台
360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人获取对应产品。
360安全卫士
Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。
360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。
360本地安全大脑
360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。
360终端安全管理系统
360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。
360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。
2021-08-12 360高级威胁分析中心发布通告
一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。
Conti勒索集团内部核心资料分析
http://certdl.qihucdn.com/cert-public-file/forward_event_anaylze/【360CERT】Conti勒索集团内部核心资料分析.pdf
若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。
https://cert.360.cn/
进入官网查看更多资讯
原文始发于微信公众号(三六零CERT):Conti勒索集团内部核心资料分析
