Conti勒索軟件在2019年底首次出現(xiàn)，并逐漸發(fā)展成為主要的勒索軟件即服務(wù)(RaaS)運(yùn)營商之一。據(jù)悉它與Ryuk勒索軟件有一些聯(lián)系，Ryuk軟件由名為Wizard Spider的網(wǎng)絡(luò)犯罪組織運(yùn)營。美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國聯(lián)邦調(diào)查局(FBI)在最近發(fā)布的一次警報(bào)中表示，他們觀察到在針對(duì)美國和國際組織的400多次網(wǎng)絡(luò)攻擊中使用了Conti勒索軟件。根據(jù)網(wǎng)絡(luò)犯罪情報(bào)機(jī)構(gòu)Recorded Future公司的調(diào)查，Conti是造成2021年9月受害者數(shù)量第二多的勒索軟件，僅次于LockBit。

 

Conti的運(yùn)作方式也與其他RaaS團(tuán)伙略有不同。大多數(shù)網(wǎng)絡(luò)攻擊團(tuán)伙與稱為附屬機(jī)構(gòu)的合作伙伴合作以危害受害者，并部署勒索軟件程序以支付一定比例的贖金，但據(jù)悉Conti向其開發(fā)者支付月薪。

 

 

使用Conti的網(wǎng)絡(luò)攻擊者采用多種方法來獲取對(duì)企業(yè)網(wǎng)絡(luò)的訪問權(quán)限，包括從已經(jīng)擁有此類訪問權(quán)限的其他團(tuán)體(即所謂的網(wǎng)絡(luò)訪問代理)那里購買訪問權(quán)限。與Ryuk一樣，Conti勒索軟件也使用TrickBot惡意軟件以及IcedID等其他木馬進(jìn)行訪問。這些木馬程序通常通過包含惡意鏈接或Microsoft Word附件的魚叉式網(wǎng)絡(luò)釣魚電子郵件進(jìn)行分發(fā)。

 

被盜或弱遠(yuǎn)程桌面協(xié)議(RDP)憑據(jù)也是Conti和所有勒索軟件團(tuán)伙進(jìn)入網(wǎng)絡(luò)的常見方法。美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國聯(lián)邦調(diào)查局(FBI)的公告還提到，通過搜索引擎優(yōu)化、惡意軟件分發(fā)網(wǎng)絡(luò)(如ZLoader)以及利用外部IT資產(chǎn)中的漏洞推廣的虛假軟件是Conti勒索軟件團(tuán)伙獲得訪問權(quán)限的其他常見方法。在Sophos公司調(diào)查的導(dǎo)致Conti部署的入侵事件中，該公司發(fā)現(xiàn)運(yùn)行易受攻擊固件的FortiGate防火墻設(shè)備受到攻擊。

 

 

一旦進(jìn)入一家企業(yè)的網(wǎng)絡(luò)，黑客就會(huì)使用一系列工具來映射網(wǎng)絡(luò)并擴(kuò)大他們的訪問范圍。研究人員已經(jīng)看到了Cobalt Strike攻擊框架和名為Router Scan的滲透測試工具的使用，該工具可以掃描和暴力破解路由器、攝像頭和網(wǎng)絡(luò)連接存儲(chǔ)設(shè)備的Web管理憑據(jù)。

 

網(wǎng)絡(luò)攻擊者還發(fā)起Kerberos攻擊，目的是獲取管理員哈希值并進(jìn)行暴力攻擊。包括Conti在內(nèi)的許多團(tuán)體都使用諸如Windows Sysinternal或Mimikatz之類的通用工具來獲取用戶哈希和明文憑據(jù)，從而在域內(nèi)實(shí)現(xiàn)權(quán)限提升和橫向移動(dòng)。

 

還觀察到Conti附屬公司利用網(wǎng)絡(luò)內(nèi)眾所周知的Windows漏洞，如Windows打印后臺(tái)處理程序服務(wù)中的SMB服務(wù)器(包括EternalBlue)、PrintMonamine(CVE-2021-34527)或Microsoft Active Directory域控制器系統(tǒng)中的Zerologon(CVE-2020-1472)。

 

 

Conti團(tuán)伙并不直接部署勒索軟件，而是依賴更輕量級(jí)的加載程序，可以逃避防病毒檢測。該組織使用Cobalt Strike和Meterpreter(Metasploit)木馬程序，以及名為getuid的加載程序?qū)⒗账鬈浖苯幼⑷雰?nèi)存。

 

Sophos公司的研究人員在今年早些時(shí)候的一項(xiàng)分析中說，“由于反射加載程序?qū)⒗账鬈浖行лd荷傳送到內(nèi)存中，不會(huì)將勒索軟件二進(jìn)制文件寫入受感染計(jì)算機(jī)的文件系統(tǒng)，因此網(wǎng)絡(luò)攻擊者消除了影響大多數(shù)其他勒索軟件系列的關(guān)鍵致命弱點(diǎn)：即使是經(jīng)驗(yàn)豐富的惡意軟件分析師也無法發(fā)現(xiàn)漏洞。”

 

該勒索軟件還通過使用哈希值而不是API函數(shù)并在其上添加另一層加密來混淆其字符串和Windows API調(diào)用。所有這些都是為了使安全程序的自動(dòng)檢測和人工逆向工程變得困難。

 

Conti勒索軟件的另一個(gè)有趣方面是它支持命令行執(zhí)行參數(shù)，這些參數(shù)指示它加密本地磁盤、特定網(wǎng)絡(luò)共享甚至文件中定義的網(wǎng)絡(luò)共享列表。VMware公司的研究人員在分析中說：“這種能力的顯著影響是它可以在環(huán)境中造成有針對(duì)性的破壞，這種方法可能會(huì)阻礙事件響應(yīng)活動(dòng)。成功的攻擊可能造成的破壞僅限于沒有互聯(lián)網(wǎng)功能的服務(wù)器，但在環(huán)境中的其他地方?jīng)]有類似破壞的證據(jù)。這也具有降低勒索軟件總體‘噪音’的效果，數(shù)百個(gè)系統(tǒng)立即開始顯示感染跡象的攻擊。與其相反，一旦用戶訪問數(shù)據(jù)，加密甚至可能在數(shù)天或數(shù)周后都不會(huì)被注意到。”

 

Conti使用AES-256算法通過在勒索軟件程序中硬編碼的公鑰來加密文件。這意味著每個(gè)二進(jìn)制文件都是為每個(gè)受害者專門制作的，以確保受害者擁有唯一的密鑰對(duì)。它還允許程序加密文件，即使它無法聯(lián)系命令和控制服務(wù)器。

 

Conti勒索軟件攻擊團(tuán)伙還投入了大量精力來使恢復(fù)工作復(fù)雜化。該勒索軟件首先禁用和刪除Windows卷影副本，然后還會(huì)迭代大約160個(gè)命令以禁用各種Windows系統(tǒng)服務(wù)，包括一些與第三方備份解決方案相關(guān)的服務(wù)，包括Acronis VSS Provider、企業(yè)客戶端服務(wù)、SQL安全備份服務(wù)、SQL安全過濾服務(wù)、Veeam備份目錄數(shù)據(jù)服務(wù)和Acronis Agent。

 

 

根據(jù)安全服務(wù)商AdvIntel公司的一份報(bào)告，Conti不僅刪除備份，還利用備份服務(wù)來竊取數(shù)據(jù)，以便他們以后可以用數(shù)據(jù)泄露威脅受害者。AdvIntel公司的研究人員說，“Conti尋找Veeam特權(quán)用戶和服務(wù)，并利用訪問、泄露、刪除和加密備份來確保勒索軟件漏洞無法備份。通過這種方式，Conti同時(shí)泄露了數(shù)據(jù)以進(jìn)一步勒索受害者，同時(shí)在刪除備份后，受害者沒有機(jī)會(huì)快速恢復(fù)其文件。”

 

還觀察到Conti攻擊者經(jīng)常使用Rclone開源實(shí)用程序?qū)⑵髽I(yè)數(shù)據(jù)上傳到Mega等基于云的文件托管服務(wù)。

 

與當(dāng)今大多數(shù)勒索軟件組織一樣，Conti維護(hù)著一個(gè)數(shù)據(jù)泄露網(wǎng)站，在該網(wǎng)站上發(fā)布有關(guān)新受害者的信息。該組織最近對(duì)其與受害者的贖金談判談話被泄露給媒體的事實(shí)感到惱火。發(fā)生這種情況是因?yàn)榇祟悈f(xié)商是通過網(wǎng)絡(luò)攻擊者建立的特定于受害者的“支付站點(diǎn)”進(jìn)行的，這些站點(diǎn)通常包含在留給受害者的贖金票據(jù)中。如果將贖金記錄上傳到Virus Total等服務(wù)，惡意軟件研究人員就可以找到支付站點(diǎn)并可能看到受害者與該組織之間的交流。

 

該團(tuán)伙在最近的一篇博客文章中威脅說，如果談判內(nèi)容被泄露，他們將發(fā)布與其談判的任何受害者的數(shù)據(jù)。這發(fā)生在該團(tuán)伙入侵日本電子制造商JVCKenwood公司之后。該組織寫道，“例如昨天，我們發(fā)現(xiàn)一周前與JVCKenwood的聊天泄露給媒體。”Conti在文章中表示，其談判是按照正常的商業(yè)運(yùn)作進(jìn)行的。但是，由于媒體發(fā)布的消息是在談判中途進(jìn)行的，導(dǎo)致決定終止談判并發(fā)布數(shù)據(jù)。JVCKenwood公司已經(jīng)得到通知。此外，我們在本周再次發(fā)現(xiàn)了在社交媒體上傳播的談判內(nèi)容截圖。”

 

此外，該組織警告說，如果在支付贖金和刪除受害者檔案之后，其談判內(nèi)容被泄露，它將以集體懲罰的形式公布從另一名受害者那里竊取的數(shù)據(jù)。

 

 

美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國聯(lián)邦調(diào)查局(FBI)聯(lián)合公告了包含一般勒索軟件緩解建議和其他資源，包括對(duì)帳戶使用多因素身份驗(yàn)證、實(shí)施網(wǎng)絡(luò)分段和流量過濾、掃描軟件漏洞和保持軟件產(chǎn)品最新、刪除不必要的應(yīng)用程序和應(yīng)用軟件執(zhí)行限制和控制，限制遠(yuǎn)程訪問(例如RDP)并限制對(duì)網(wǎng)絡(luò)資源的訪問，審核和限制管理帳戶的使用以及實(shí)施端點(diǎn)和檢測響應(yīng)工具。

 

該公告還包含指向Conti妥協(xié)指標(biāo)(IOC)列表的鏈接，該團(tuán)伙使用的技術(shù)和程序在MITREATT&CK框架中進(jìn)行了描述。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。