俄乌冲突引发网络武器库泄露:Conti泄露数据全面分析
俄乌冲突引发民间网络安全能力者的分裂,Conti勒索软件选择站队俄罗斯,引发一名乌克兰安全研究人员的愤怒,开始疯狂地公开泄露Conti内部数据;
据分析,泄露数据包括Conti勒索软件代码、TrickBot木马代码、Conti培训材料、Conti/TrickBot内部交流的各种攻击技巧等,已然是一个小型网络武器库;
这些泄露数据可谓双刃剑,安全研究人员可以了解Conti的策略、代码开发、货币化方式、潜在成员身份等信息,采取更可靠的防御手段;恶意软件开发者也可以利用这批数据,指导开发更多类似TrickBot的恶意软件。
安全内参此前有分析,俄乌冲突引发了民间网络安全能力者的分裂,从乌克兰地下黑客、俄罗斯民间“网络卫士”到勒索软件组织、国际黑客组织,多方势力纷纷表态和行动,为此次冲突增加了更多复杂性。
其中,Conti勒索软件选择站在俄罗斯一方,这引发了一名乌克兰安全研究人员的愤怒。
据安全内参追踪了解,上周日(2月27日),这名研究员首次公开泄露Conti团伙内部超6万条聊天消息(2021.1-2022.2),周一(3月1日)又公开泄露了Conti团伙的超10万条聊天消息(2020.6该团伙首次公开出手-2020.11)、泄露账号密码数据库、Conti源代码等。
安全厂商CyberArk对这批泄露数据(代号:ContiLeaks)进行了分析,让我们一起看看里边都有什么吧。
第二次泄露都有些什么?
ContiLeaks公开的这批文件可谓新鲜出炉,不少文件甚至来自3月1日。
ContiLeaks截至3月1日的数据转储内容。
下面,我们就对泄露数据逐个分析,看看它们在研究人员手中能发挥哪些作用。
聊天记录
此次泄露的聊天内容主要是Conti团伙内部的交流信息,时间跨度为2020年6月-11月。分析发现,其中一位用户“经常向其他全体用户发送垃圾邮件”。
研究人员可以从聊天记录收集Conti团伙使用的用户名,“一起揪出Conti团伙的所有成员。”
管理面板源代码
快速浏览泄露内容后,研究人员们推测Conti团伙使用的大部分代码来自开源软件。比如yii2、Kohana两个PHP框架,“(似乎)被用于构建管理面板” 。
“其中大部分代码使用PHP编写,由Composer负责管理,唯一例外的是一个用Go编写的工具。”这些代码库还包含相应的配置文件,其中列出了本地数据库的用户名和密码,以及一些公共IP地址。
Pony恶意软件窃取的凭证
Conti Pony Leak 2016.7z文件主要是泄露电子邮件账号密码库,来自gmail.com、mail.ru、yahoo.com等邮件服务商。很明显,这是由Pony凭证窃取恶意软件从各种来源盗窃来的。Pony的历史至少可以追溯到2018年,是诈骗分子们最喜爱的凭证盗窃软件之一。
压缩包内还包含来自FTP/RDP与SSH服务、以及其他多个不同网站的凭证。
TTP
Conti Rocket Chat Leaks.7z中包含Conti团伙成员关于攻击目标、攻击手段的聊天记录。他们会讨论攻击目标,并运用Cobalt Strike实施攻击。
Conti团伙成员们在交谈中提到过以下攻击技术:
- Active Directory枚举
- 通过sqlcmd进行SQL数据库枚举
- 如何访问Shadow Protect SPX(StorageCraft)备份
- 如何创建NTDS转储与vssadmin
- 如何打开新RDP端口1350
涉及以下工具:
- Cobalt Strike
- Metasploit
- PowerView
- ShareFinder
- AnyDesk
- Mimikatz
Conti Locker v2源代码,与可能无效的解密器
此次泄漏文件还包含Conti Locker v2源代码。这部分代码在一个受密码保护的zip文件中,解开之后再无其他保护措施。
除了Conti勒索软件的v2源代码外,还有一个解密器源代码。但有推特网友称,这款解密器已经没法使用。
Marcus证实,“我听说解密器不是最新版本,也没法正常使用。”
他猜测,泄露的解密器可能是Conti提供给已支付赎金受害者的版本。
解密器的工作原理有点像对受密码保护的文件进行解压,只是整个过程更复杂、具体设计因不同勒索软件家族而异。
Marcus还提到,“有些解密器内置在独立二进制文件中,有些则可以远程启用。它们通常会内置密钥。”
Conti团伙培训材料
此次泄露文件还有培训材料,有俄语在线课程视频、也有以下TTP清单的具体操作方法:
- 破解/Cracking
- Metasploit
- 网络渗透
- Cobalt Strike
- 使用PowerShell进行渗透
- Windows红队攻击
- WMI攻击(与防御)
- SQL Server
- Active Directory
- 逆向工程
Conti团伙的俄语培训材料。
TrickBot泄露
另一个泄露文件是TrickBot木马/恶意软件论坛的聊天内容,内容涵盖2019-2021年的大量消息。
里边大多数内容是在讨论如何实现网络横向移动、如何使用某些工具,以及一些关于TrickBot和Conti团伙的TTP信息。
例如,在一封帖子中,某位成员分享了他的webshell,并表示“这是我用过的最轻量级、最耐用的webshell”。
其中还包含2021年7月上旬Conti团伙利用Zerologon等漏洞的证据。这并不奇怪,毕竟从2020年9月开始,GitHub上先后出现过4个针对此漏洞的PoC,以及大量漏洞技术细节。
其他泄露内容还包括用Erlang编写的服务器端组件:trickbot-command-dispatcher-backend、trickbot-data-collector-backend,被称为lero与dero。
感想上帝提供的易读性代码!有推特网友感叹,“终于有值得翻阅的内容了(Conti Trickbot Leaks.7z)——这些Erlang代码整洁、可复用,比几个开源Erlang服务器示例要更好。”
TrickBot代码泄露可能导致…更好的TrickBot出现
数据泄露会减缓TrickBot攻击者的恶意活动吗?真的未必,因为攻击者似乎已经对Zanax发动过几波打击。
上周(2月24日),安全厂商Intel 471的研究人员发布一份报告,讲述TrickBot恶意软件团伙如何在一段漫长的停顿期后卷土重来。如果不是最近再次观察到行动,研究人员还以为他们突然消失了。自2021年12月28日到2022年2月17日,研究人员没有观察到TrickBot团伙的任何恶意活动。
研究人员当时认为,这次停顿可能是由于TrickBot团伙开始将业务重点转向合作开发恶意软件,例如Emotet。
ContiLeaks数据泄露事件很可能扭转局势,但不一定会变得更好。威胁情报厂商LookingGlass威胁情报高级主管David Marcus表示,随着安全研究人员对数据的持续剖析,此次泄露将产生“重大长期影响”,“我们将了解对方的策略、代码开发、货币化方式、潜在成员身份等信息。”
但代码泄露本身也是一把双刃剑,他认为“从防御的角度看,这会帮助研究人员更好地了解TrickBot工作原理,进而采取更可靠的防御手段。但另一方面,这些源代码也将流入其他恶意软件开发者手中,指导他们开发出更多类似TrickBot的恶意软件。”
Conti团伙并不在乎
出了这么大的乱子,Conti团伙现在应该很紧张吧?但事实并非如此。
威胁情报公司Advanced Intelligence(AdvInt)研究主管Yelisey Boguslavskiy表示,他们的主要情报来源都没有显示出这会影响Conti。
他解释道,“这次泄露只涉及Conti内部6支小组中的1支。虽然这个组似乎地位最高,但其他小组确实丝毫未受影响。Conti只是简单重启了所有基础设施,然后继续照常运行。”
参考来源:
threatpost.com
