当前位置：首页 > news >正文

透视俄乌网络战之二：Conti勒索软件集团（下）

news 文章来源：https://blog.csdn.net/apr15/article/details/132815258 2024/11/19 13:43:05

透视俄乌网络战之一：数据擦除软件
透视俄乌网络战之二：Conti勒索软件集团（上）

Conti勒索软件集团（下）

- 1. 管理面板源代码
- 2. Pony凭证窃取恶意软件
- 3. TTPs
- 4. Conti Locker v2源代码
- 5. Conti团伙培训材料
- 6. TrickBot泄露

2022年2月27日，Twitter账号@ContiLeaks发布了勒索软件组织Conti的大量聊天记录后，3月1日，ContiLeaks又泄露了Conti的大量源代码及培训资料。

在这里插入图片描述

1. 管理面板源代码

分析泄露内容发现，Conti团伙使用的大部分代码来自开源软件，如PHP框架yii2、Kohana两个，被用于构建管理面板。

在这里插入图片描述

代码大部分是用PHP编写的，由Composer管理，唯一例外的是一个用Go编写的工具的存储库。存储库还包含一些配置文件，其中列出了本地数据库用户名和密码，以及一些公共IP地址。

2. Pony凭证窃取恶意软件

Conti Pony Leak 2016.7z文件主要是电子邮件账号密码库，包括gmail.com、mail.ru、yahoo.com等邮件服务商。很明显，这是由Pony凭证窃取恶意软件从各种来源盗窃来的。Pony的历史至少可以追溯到2018年，是诈骗分子们最喜爱的凭证盗窃软件之一。

压缩包内还包含来自FTP/RDP、SSH服务以及其他多个不同网站的凭证。

3. TTPs

TTPs: Tactics, Techniques and Procedures

Conti Rocket Chat Leaks.7z中包含Conti团伙成员关于攻击目标、攻击手段，以及运用Cobalt Strike实施攻击的聊天记录。

tactics, techniques and procedures

Conti团伙成员们在交谈中提到过以下攻击技术：

Active Directory枚举
通过sqlcmd进行SQL数据库枚举
如何访问Shadow Protect SPX（StorageCraft）备份
如何创建NTDS转储与vssadmin
如何打开新RDP端口1350

涉及以下工具：

Cobalt Strike
Metasploit
PowerView
ShareFinder
AnyDesk
Mimikatz

4. Conti Locker v2源代码

此次泄漏文件还包含Conti Locker v2源代码以及一个解密器源代码。但有推特网友称，这款解密器已经没法使用。
在这里插入图片描述

解密器的工作原理有点像解压缩有密码保护的文件，只是过程更复杂，因为它们因勒索软件家族而异。有些解密器被内置到一个独立的二进制文件中，有些可以远程启用，它们通常都有内置的钥匙。

5. Conti团伙培训材料

此次泄露文件还有培训材料，有俄语在线课程视频及以下TTPs清单的具体操作方法：

破解/Cracking
Metasploit
网络渗透
Cobalt Strike
使用PowerShell进行渗透
Windows红队攻击
WMI攻击（与防御）
SQL Server
Active Directory
逆向工程

Conti的培训课程：CyberArk

在这里插入图片描述

6. TrickBot泄露

另一个泄露文件是TrickBot木马/恶意软件使用的论坛聊天记录，内容涵盖2019-2021。

其中，大多数内容是在讨论如何实现网络横向移动、如何使用某些工具，以及一些关于TrickBot和Conti团伙的TTPs信息。例如，在一封帖子中，某位成员分享了他的webshell，并表示“这是我用过的最轻量级、最耐用的webshell”。此外，还包含2021年7月上旬Conti团伙利用Zerologon等漏洞的证据。这并不奇怪，毕竟从2020年9月开始，GitHub上先后出现过4个针对此漏洞的PoC，以及大量漏洞技术细节。

其他泄露内容还包括用Erlang编写的服务器端组件：trickbot-command-dispatcher-backend、trickbot-data-collector-backend，被称为lero与dero。

在这里插入图片描述

代码泄露是一把双刃剑，从防御的角度看，这会帮助研究人员更好地了解TrickBot工作原理，进而采取更可靠的防御手段;但另一方面，这些源代码也将流入其他恶意软件开发者手中，指导他们开发出更多甚至更好的类似TrickBot的恶意软件。

参考

[1] Conti Ransomware Decryptor, TrickBot Source Code Leaked
[2] Conti Ransomware Group Internal Chats Leaked Over Russia-Ukraine Conflict

Conti勒索软件集团（下）

1. 管理面板源代码

2. Pony凭证窃取恶意软件

3. TTPs

4. Conti Locker v2源代码

5. Conti团伙培训材料

6. TrickBot泄露

相关文章：