Переведенный сборник программ-вымогателей Conti дает представление об атаках

22
Российские государственные хакеры используют новое вредоносное ПО TinyTurla как вторичный бэкдор

Спустя почти месяц после того, как недовольный филиал Conti просочился к сценарию атаки банды, исследователи безопасности предоставили переведенный вариант, который разъясняет любые неверные истолкования, вызванные автоматическим переводом.

Помимо предоставления информации о методах атаки банды и тщательности инструкций, которые позволяют менее опытным участникам становиться филиалами программ-вымогателей Conti и поражать ценные цели.

Требуется немного навыков

Лингвисты, работающие с исследователями Cisco Talos, просмотрели просочившийся материал, чтобы предоставить понятную английскую версию, которая точно описывает методы и инструменты банды.

Сценарии атак, описанные в документах, были настолько тщательными, что, по словам исследователей, «даже злоумышленники-любители [могли] проводить разрушительные атаки программ-вымогателей».

«Этот более низкий барьер для входа также мог привести к утечке информации недовольным участником, который считался менее техническим (он же« скрипач ») и менее важным».

Среди «советов», представленных в руководствах, – как получить доступ администратора после взлома сети жертвы с помощью команд и инструментов для составления списка пользователей, особенно тех, которые имеют доступ к Active Directory.

Также подробно описывается простая разведка, такая как проверка LinkedIn и других платформ социальных сетей для выявления сотрудников с привилегированным доступом, с примечанием, что эти методы лучше работают для компаний в США и Европе.

Инструменты и техники

Самый популярный инструмент, описанный в просочившемся материале, – это фреймворк красной команды Cobalt Strike, сопровождаемый взломанной версией программного обеспечения 4.3.

В инструкциях по использованию также упоминается об использовании уязвимости ZeroLogon (CVE-2020-1472). Другие критические ошибки, упомянутые в сборнике программ-вымогателей Conti, – это PrintNightmare (CVE-2021-1675, CVE-2021-34527) и EternalBlue (CVE-2017-0143 / 0148).

Некоторые инструменты, подробно описанные противником, не являются тем, что исследователи Cisco обычно видят во время мероприятий по реагированию на инциденты:

  • Armitage – графический интерфейс на основе Java для платформы тестирования на проникновение Metasploit
  • SharpView – порт .NET инструмента PowerView из набора инструментов PowerSploit Offensive на основе PowerShell.
  • SharpChrome – для расшифровки логинов и файлов cookie в Chrome
  • SeatBelt – собирает системные данные, такие как версия ОС, политика UAC, пользовательские папки

Среди других инструментов и утилит командной строки, описанных в просочившихся документах, есть следующие:

  • ADFind – инструмент запросов Active Directory
  • Платформа PowerShell – для отключения Защитника Windows
  • GMER – альтернатива для определения решений безопасности и их отключения
  • SMBAutoBrute – для перебора учетных записей в текущем домене.
  • Kerberoasting – метод использования грубой силы для взлома хэша пароля Kerberos.
  • Mimikatz – для выгрузки паролей из памяти
  • RouterScan – инструмент для обнаружения устройств в сети и извлечения паролей с помощью эксплойта или грубой силы.
  • AnyDesk – приложение удаленного рабочего стола для настойчивости
  • Atera – еще одна программа удаленного доступа

Перед тем, как перейти к эксплуатации, аффилированным лицам предлагается узнать о доходах своей жертвы, просмотрев информацию из открытых источников.

Утечка от рассерженного аффилированного лица Conti также включает видеоуроки, в основном на русском языке, в которых объясняется, как использовать PowerShell для проверки на проникновение, атак на Active Directory или как использовать SQL Server в домене Windows.

Большая часть видеоуроков (Metasploit, PowerShell, атаки и защита WMI, тестирование на проникновение в сети) для аффилированных лиц взяты из различных ресурсов безопасности, доступных в Интернете.

Исследователи Cisco Talos считают, что переведенная версия просочившейся документации Conti поможет другим исследователям лучше понять тактику, методы и процедуры этого злоумышленника, а также других лиц, которые могут быть вдохновлены документацией.

«Это возможность для защитников убедиться, что у них есть логика, позволяющая обнаруживать такие типы поведения или компенсирующие меры, помогающие снизить риск. Этот перевод следует рассматривать как возможность для защитников лучше понять, как действуют эти группы, и какие инструменты они склонны использовать в этих атаках », – Cisco Talos

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here