俄烏沖突引發網絡武器庫泄露:Conti泄露數據全面分析
俄烏沖突引發民間網絡安全能力者的分裂,Conti勒索軟件選擇站隊俄羅斯,引發一名烏克蘭安全研究人員的憤怒,開始瘋狂地公開泄露Conti內部數據;
據分析,泄露數據包括Conti勒索軟件代碼、TrickBot木馬代碼、Conti培訓材料、Conti/TrickBot內部交流的各種攻擊技巧等,已然是一個小型網絡武器庫;
這些泄露數據可謂雙刃劍,安全研究人員可以了解Conti的策略、代碼開發、貨幣化方式、潛在成員身份等信息,采取更可靠的防御手段;惡意軟件開發者也可以利用這批數據,指導開發更多類似TrickBot的惡意軟件。
安全內參此前有分析,俄烏沖突引發了民間網絡安全能力者的分裂,從烏克蘭地下黑客、俄羅斯民間“網絡衛士”到勒索軟件組織、國際黑客組織,多方勢力紛紛表態和行動,為此次沖突增加了更多復雜性。
其中,Conti勒索軟件選擇站在俄羅斯一方,這引發了一名烏克蘭安全研究人員的憤怒。
據安全內參追蹤了解,上周日(2月27日),這名研究員首次公開泄露Conti團伙內部超6萬條聊天消息(2021.1-2022.2),周一(3月1日)又公開泄露了Conti團伙的超10萬條聊天消息(2020.6該團伙首次公開出手-2020.11)、泄露賬號密碼數據庫、Conti源代碼等。
安全廠商CyberArk對這批泄露數據(代號:ContiLeaks)進行了分析,讓我們一起看看里邊都有什么吧。
第二次泄露都有些什么?
ContiLeaks公開的這批文件可謂新鮮出爐,不少文件甚至來自3月1日。
ContiLeaks截至3月1日的數據轉儲內容。
下面,我們就對泄露數據逐個分析,看看它們在研究人員手中能發揮哪些作用。
聊天記錄
此次泄露的聊天內容主要是Conti團伙內部的交流信息,時間跨度為2020年6月-11月。分析發現,其中一位用戶“經常向其他全體用戶發送垃圾郵件”。
研究人員可以從聊天記錄收集Conti團伙使用的用戶名,“一起揪出Conti團伙的所有成員。”
管理面板源代碼
快速瀏覽泄露內容后,研究人員們推測Conti團伙使用的大部分代碼來自開源軟件。比如yii2、Kohana兩個PHP框架,“(似乎)被用于構建管理面板” 。
“其中大部分代碼使用PHP編寫,由Composer負責管理,唯一例外的是一個用Go編寫的工具。”這些代碼庫還包含相應的配置文件,其中列出了本地數據庫的用戶名和密碼,以及一些公共IP地址。
Pony惡意軟件竊取的憑證
Conti Pony Leak 2016.7z文件主要是泄露電子郵件賬號密碼庫,來自gmail.com、mail.ru、yahoo.com等郵件服務商。很明顯,這是由Pony憑證竊取惡意軟件從各種來源盜竊來的。Pony的歷史至少可以追溯到2018年,是詐騙分子們最喜愛的憑證盜竊軟件之一。
壓縮包內還包含來自FTP/RDP與SSH服務、以及其他多個不同網站的憑證。
TTP
Conti Rocket Chat Leaks.7z中包含Conti團伙成員關于攻擊目標、攻擊手段的聊天記錄。他們會討論攻擊目標,并運用Cobalt Strike實施攻擊。
Conti團伙成員們在交談中提到過以下攻擊技術:
- Active Directory枚舉
- 通過sqlcmd進行SQL數據庫枚舉
- 如何訪問Shadow Protect SPX(StorageCraft)備份
- 如何創建NTDS轉儲與vssadmin
- 如何打開新RDP端口1350
涉及以下工具:
- Cobalt Strike
- Metasploit
- PowerView
- ShareFinder
- AnyDesk
- Mimikatz
Conti Locker v2源代碼,與可能無效的解密器
此次泄漏文件還包含Conti Locker v2源代碼。這部分代碼在一個受密碼保護的zip文件中,解開之后再無其他保護措施。
除了Conti勒索軟件的v2源代碼外,還有一個解密器源代碼。但有推特網友稱,這款解密器已經沒法使用。
Marcus證實,“我聽說解密器不是最新版本,也沒法正常使用。”
他猜測,泄露的解密器可能是Conti提供給已支付贖金受害者的版本。
解密器的工作原理有點像對受密碼保護的文件進行解壓,只是整個過程更復雜、具體設計因不同勒索軟件家族而異。
Marcus還提到,“有些解密器內置在獨立二進制文件中,有些則可以遠程啟用。它們通常會內置密鑰。”
Conti團伙培訓材料
此次泄露文件還有培訓材料,有俄語在線課程視頻、也有以下TTP清單的具體操作方法:
- 破解/Cracking
- Metasploit
- 網絡滲透
- Cobalt Strike
- 使用PowerShell進行滲透
- Windows紅隊攻擊
- WMI攻擊(與防御)
- SQL Server
- Active Directory
- 逆向工程
Conti團伙的俄語培訓材料。
TrickBot泄露
另一個泄露文件是TrickBot木馬/惡意軟件論壇的聊天內容,內容涵蓋2019-2021年的大量消息。
里邊大多數內容是在討論如何實現網絡橫向移動、如何使用某些工具,以及一些關于TrickBot和Conti團伙的TTP信息。
例如,在一封帖子中,某位成員分享了他的webshell,并表示“這是我用過的最輕量級、最耐用的webshell”。
其中還包含2021年7月上旬Conti團伙利用Zerologon等漏洞的證據。這并不奇怪,畢竟從2020年9月開始,GitHub上先后出現過4個針對此漏洞的PoC,以及大量漏洞技術細節。
其他泄露內容還包括用Erlang編寫的服務器端組件:trickbot-command-dispatcher-backend、trickbot-data-collector-backend,被稱為lero與dero。
感想上帝提供的易讀性代碼!有推特網友感嘆,“終于有值得翻閱的內容了(Conti Trickbot Leaks.7z)——這些Erlang代碼整潔、可復用,比幾個開源Erlang服務器示例要更好。”
TrickBot代碼泄露可能導致…更好的TrickBot出現
數據泄露會減緩TrickBot攻擊者的惡意活動嗎?真的未必,因為攻擊者似乎已經對Zanax發動過幾波打擊。
上周(2月24日),安全廠商Intel 471的研究人員發布一份報告,講述TrickBot惡意軟件團伙如何在一段漫長的停頓期后卷土重來。如果不是最近再次觀察到行動,研究人員還以為他們突然消失了。自2021年12月28日到2022年2月17日,研究人員沒有觀察到TrickBot團伙的任何惡意活動。
研究人員當時認為,這次停頓可能是由于TrickBot團伙開始將業務重點轉向合作開發惡意軟件,例如Emotet。
ContiLeaks數據泄露事件很可能扭轉局勢,但不一定會變得更好。威脅情報廠商LookingGlass威脅情報高級主管David Marcus表示,隨著安全研究人員對數據的持續剖析,此次泄露將產生“重大長期影響”,“我們將了解對方的策略、代碼開發、貨幣化方式、潛在成員身份等信息。”
但代碼泄露本身也是一把雙刃劍,他認為“從防御的角度看,這會幫助研究人員更好地了解TrickBot工作原理,進而采取更可靠的防御手段。但另一方面,這些源代碼也將流入其他惡意軟件開發者手中,指導他們開發出更多類似TrickBot的惡意軟件。”
Conti團伙并不在乎
出了這么大的亂子,Conti團伙現在應該很緊張吧?但事實并非如此。
威脅情報公司Advanced Intelligence(AdvInt)研究主管Yelisey Boguslavskiy表示,他們的主要情報來源都沒有顯示出這會影響Conti。
他解釋道,“這次泄露只涉及Conti內部6支小組中的1支。雖然這個組似乎地位最高,但其他小組確實絲毫未受影響。Conti只是簡單重啟了所有基礎設施,然后繼續照常運行。”
參考來源:
threatpost.com
