Conti勒索軟件利用低技術但有效的模型

Conti勒索軟件帝國竟然是建立在令人驚訝的低技術攻擊方法和技術之上。

Akamai Technologies公司的安全研究人員深入研究了這個臭名昭著的勒索軟件組織最近泄露的手冊和培訓材料，他發現，總的來說，Conti黑客并沒有利用尖端的漏洞利用和黑客技術。

相反，研究人員發現，與Conti集團簽約的黑客正在使用經過驗證的黑客技術，試圖接管其目標網絡中的單個用戶帳戶，然后使用這些被盜的憑據進行橫向移動。

Akamai公司安全研究員Stiv Kupchik在周二的博客文章中解釋道：“Conti的攻擊方法并不新穎。使用有效的工具和持續性似乎就可以成功發起攻擊。”

“該過程似乎主要通過‘敲擊鍵盤’完成-而某些功能可以腳本化或自動化，操作者通常只需要竊取憑據并對在網絡中傳播做出有意識的決定即可。”

Akamai研究人員發現，Conti網絡更多地依靠其黑客成員的辛勤工作，而不是任何類型的技術魔法。該組織似乎幾乎完全依賴售后市場滲透測試工具，例如Cobalt Strike、Mimikatz和PsExec，而內部創建的武器庫很少。

Kupchik解釋說：“為了實現他們的網絡滲透和傳播目標，Conti利用各種工具，其中大多數不是Conti自己制造的。事實上，只有加密器、木馬和注入器似乎是專有的，而對于橫向移動、傳播和滲漏，Conti似乎使用了大量紅藍團隊的所有人都應該熟悉的工具。”

盡管該組織可能沒有利用最獨特的工具或技術，但Conti的行動已經證明，對于其操作人員和簽約黑客來說，這是極其有利可圖的，這些人主要做基礎工作，為感染機器和竊取數據以用于Conti的勒索要求。

該組織如此有效的原因之一是它致力于讓黑客深入目標網絡，而不被發現。Akamai說，Conti黑客傾向于通過橫向移動將自己深藏在網絡中，使用受感染的帳戶訪問其他帳戶的憑據并接管多個系統。

該策略的最終目標是獲得對目標域控制器 (DC) 的訪問權，并獲得管理員帳戶，以便掌握整個網絡域。一旦完成，攻擊者才會開始加密數據，并宣布掌控目標公司。

Kupchik解釋說：“操作人員被指示通過上述竊取憑據和擴展的過程前往DC。由于這個過程似乎很大程度上是手動的，這使得Conti操作人員在選擇目標時有一定程度的自行決定權。”

不幸的是，這對網絡防御者來說是個壞消息。由于沒有特定的漏洞利用或獨特的方法侵入網絡，Conti黑客不容易防御；Akamai表示，防止入侵需要多方面的努力。

Kupchik稱：“沒有一種解決方案可以讓你立即安全可靠。正如我們在攻擊方法中看到的那樣，在部署第一個勒索軟件實例之前有一個復雜的過程，這為我們提供了充足的機會來檢測和響應攻擊。”