Спустя почти месяц после того, как недовольный филиал Conti просочился к сценарию атаки банды, исследователи безопасности предоставили переведенный вариант, который разъясняет любые неверные истолкования, вызванные автоматическим переводом.
Помимо предоставления информации о методах атаки банды и тщательности инструкций, которые позволяют менее опытным участникам становиться филиалами программ-вымогателей Conti и поражать ценные цели.
Утечка учебных материалов Conti
Требуется немного навыков
Лингвисты, работающие с исследователями Cisco Talos, просмотрели просочившийся материал, чтобы предоставить понятную английскую версию, которая точно описывает методы и инструменты банды.Сценарии атак, описанные в документах, были настолько тщательными, что, по словам исследователей, «даже злоумышленники-любители [могли] проводить разрушительные атаки программ-вымогателей».
«Этот более низкий барьер для входа также мог привести к утечке информации недовольным участником, который считался менее техническим (он же« скрипач ») и менее важным».
Среди «советов», представленных в руководствах, - как получить доступ администратора после взлома сети жертвы с помощью команд и инструментов для составления списка пользователей, особенно тех, которые имеют доступ к Active Directory.
Также подробно описывается простая разведка, такая как проверка LinkedIn и других платформ социальных сетей для выявления сотрудников с привилегированным доступом, с примечанием, что эти методы лучше работают для компаний в США и Европе.
Инструменты и техники
Самый популярный инструмент, описанный в просочившемся материале, - это фреймворк красной команды Cobalt Strike, сопровождаемый взломанной версией программного обеспечения 4.3.В инструкциях по использованию также упоминается об использовании уязвимости ZeroLogon ( CVE-2020-1472 ). Другие критические ошибки, упомянутые в сборнике программ-вымогателей Conti, - это PrintNightmare (CVE-2021-1675, CVE-2021-34527) и EternalBlue (CVE-2017-0143 / 0148).
Некоторые инструменты, подробно описанные противником, не являются тем, что исследователи Cisco обычно видят во время мероприятий по реагированию на инциденты:
- Armitage - графический интерфейс на основе Java для платформы тестирования на проникновение Metasploit
- SharpView - порт .NET инструмента PowerView из набора инструментов PowerSploit Offensive на основе PowerShell.
- SharpChrome - для расшифровки логинов и файлов cookie в Chrome
- SeatBelt - собирает системные данные, такие как версия ОС, политика UAC, пользовательские папки.
- ADFind - инструмент запросов Active Directory
- Платформа PowerShell - для отключения Защитника Windows
- GMER - альтернатива для выявления решений безопасности и их отключения
- SMBAutoBrute - для перебора учетных записей в текущем домене.
- Kerberoasting - метод использования грубой силы для взлома хэша пароля Kerberos
- Mimikatz - для выгрузки паролей из памяти
- RouterScan - инструмент для обнаружения устройств в сети и извлечения паролей с помощью эксплойта или грубой силы.
- AnyDesk - приложение удаленного рабочего стола для настойчивости
- Atera - еще одна программа удаленного доступа
Утечка от рассерженного аффилированного лица Conti также включает видеоуроки, в основном на русском языке, в которых объясняется, как использовать PowerShell для проверки на проникновение, атак на Active Directory или как использовать SQL Server в домене Windows.
Большая часть видеоуроков (Metasploit, PowerShell, атаки и защита WMI, тестирование на проникновение в сети) для аффилированных лиц взяты из различных ресурсов безопасности, доступных в Интернете.
Исследователи Cisco Talos считают, что переведенная версия просочившейся документации Conti поможет другим исследователям лучше понять тактику, методы и процедуры этого злоумышленника, а также других лиц, которые могут быть вдохновлены документацией.
«Это возможность для защитников убедиться, что у них есть логика для обнаружения таких типов поведения или компенсирующие меры, чтобы помочь снизить риск. Этот перевод следует рассматривать как возможность для защитников лучше понять, как действуют эти группы, и какие инструменты они склонны использовать в этих атаках », - Cisco Talos
Исследователи предоставляют переведенные отдельные тексты в ZIP-архиве, а также в PDF-файле . Краткое изложение материалов также доступно в Fortinet.
Перевод - Google
Bleeping Computer