码农知识堂 - 1000bd
  •   Python
  •   PHP
  •   JS/TS
  •   JAVA
  •   C/C++
  •   C#
  •   GO
  •   Kotlin
  •   Swift

  • 透视俄乌网络战之二:Conti勒索软件集团(下)

    透视俄乌网络战之一:数据擦除软件
    透视俄乌网络战之二:Conti勒索软件集团(上)
    透视俄乌网络战之三:Conti勒索软件集团(下)
    透视俄乌网络战之四:西方科技巨头的力量
    透视俄乌网络战之五:网络战的六个阶段
    透视俄乌网络战之六:俄乌网络战的总结
    透视俄乌网络战之七:俄乌网络战的思考

    Conti勒索软件集团(下)

      • 1. 管理面板源代码
      • 2. Pony凭证窃取恶意软件
      • 3. TTPs
      • 4. Conti Locker v2源代码
      • 5. Conti团伙培训材料
      • 6. TrickBot泄露

    2022年2月27日,Twitter账号@ContiLeaks发布了勒索软件组织Conti的大量聊天记录后,3月1日,ContiLeaks又泄露了Conti的大量源代码及培训资料。

    在这里插入图片描述

    1. 管理面板源代码

    分析泄露内容发现,Conti团伙使用的大部分代码来自开源软件,如PHP框架yii2、Kohana两个,被用于构建管理面板 。

    在这里插入图片描述

    代码大部分是用PHP编写的,由Composer管理,唯一例外的是一个用Go编写的工具的存储库。存储库还包含一些配置文件,其中列出了本地数据库用户名和密码,以及一些公共IP地址。

    2. Pony凭证窃取恶意软件

    Conti Pony Leak 2016.7z文件主要是电子邮件账号密码库,包括gmail.com、mail.ru、yahoo.com等邮件服务商。很明显,这是由Pony凭证窃取恶意软件从各种来源盗窃来的。Pony的历史至少可以追溯到2018年,是诈骗分子们最喜爱的凭证盗窃软件之一。

    压缩包内还包含来自FTP/RDP、SSH服务以及其他多个不同网站的凭证。

    3. TTPs

    TTPs: Tactics, Techniques and Procedures

    Conti Rocket Chat Leaks.7z中包含Conti团伙成员关于攻击目标、攻击手段,以及运用Cobalt Strike实施攻击的聊天记录。

    tactics, techniques and procedures

    Conti团伙成员们在交谈中提到过以下攻击技术:

    • Active Directory枚举
    • 通过sqlcmd进行SQL数据库枚举
    • 如何访问Shadow Protect SPX(StorageCraft)备份
    • 如何创建NTDS转储与vssadmin
    • 如何打开新RDP端口1350

    涉及以下工具:

    • Cobalt Strike
    • Metasploit
    • PowerView
    • ShareFinder
    • AnyDesk
    • Mimikatz

    4. Conti Locker v2源代码

    此次泄漏文件还包含Conti Locker v2源代码以及一个解密器源代码。但有推特网友称,这款解密器已经没法使用。
    在这里插入图片描述

    解密器的工作原理有点像解压缩有密码保护的文件,只是过程更复杂,因为它们因勒索软件家族而异。有些解密器被内置到一个独立的二进制文件中,有些可以远程启用,它们通常都有内置的钥匙。

    5. Conti团伙培训材料

    此次泄露文件还有培训材料,有俄语在线课程视频及以下TTPs清单的具体操作方法:

    • 破解/Cracking
    • Metasploit
    • 网络渗透
    • Cobalt Strike
    • 使用PowerShell进行渗透
    • Windows红队攻击
    • WMI攻击(与防御)
    • SQL Server
    • Active Directory
    • 逆向工程

    Conti的培训课程:CyberArk

    在这里插入图片描述

    6. TrickBot泄露

    另一个泄露文件是TrickBot木马/恶意软件使用的论坛聊天记录,内容涵盖2019-2021。

    其中,大多数内容是在讨论如何实现网络横向移动、如何使用某些工具,以及一些关于TrickBot和Conti团伙的TTPs信息。例如,在一封帖子中,某位成员分享了他的webshell,并表示“这是我用过的最轻量级、最耐用的webshell”。此外,还包含2021年7月上旬Conti团伙利用Zerologon等漏洞的证据。这并不奇怪,毕竟从2020年9月开始,GitHub上先后出现过4个针对此漏洞的PoC,以及大量漏洞技术细节。

    其他泄露内容还包括用Erlang编写的服务器端组件:trickbot-command-dispatcher-backend、trickbot-data-collector-backend,被称为lero与dero。

    在这里插入图片描述

    代码泄露是一把双刃剑,从防御的角度看,这会帮助研究人员更好地了解TrickBot工作原理,进而采取更可靠的防御手段;但另一方面,这些源代码也将流入其他恶意软件开发者手中,指导他们开发出更多甚至更好的类似TrickBot的恶意软件。

    参考

    [1] Conti Ransomware Decryptor, TrickBot Source Code Leaked
    [2] Conti Ransomware Group Internal Chats Leaked Over Russia-Ukraine Conflict

  • 相关阅读:
    数据类型与变量
    如何面试网络安全NISP面试官通常会问什么(四)NISP管理中心
    Minio入门系列【3】MinIO Client使用详解
    SQL之between操作符
    Android底层摸索改BUG(二):Android系统移除预置APP
    CUDA 编程基础
    Java并发编程-前期准备知识-上
    机器视觉 光源
    cvpr24写作模板pdfLaTex编译器注意点小结
    【性能测试】使用jprofile进行远程监控
  • 原文地址:https://blog.csdn.net/apr15/article/details/132815258
  • 最新文章
  • 攻防演习之三天拿下官网站群
    数据安全治理学习——前期安全规划和安全管理体系建设
    企业安全 | 企业内一次钓鱼演练准备过程
    内网渗透测试 | Kerberos协议及其部分攻击手法
    0day的产生 | 不懂代码的"代码审计"
    安装scrcpy-client模块av模块异常,环境问题解决方案
    leetcode hot100【LeetCode 279. 完全平方数】java实现
    OpenWrt下安装Mosquitto
    AnatoMask论文汇总
    【AI日记】24.11.01 LangChain、openai api和github copilot
  • 热门文章
  • 十款代码表白小特效 一个比一个浪漫 赶紧收藏起来吧!!!
    奉劝各位学弟学妹们,该打造你的技术影响力了!
    五年了,我在 CSDN 的两个一百万。
    Java俄罗斯方块,老程序员花了一个周末,连接中学年代!
    面试官都震惊,你这网络基础可以啊!
    你真的会用百度吗?我不信 — 那些不为人知的搜索引擎语法
    心情不好的时候,用 Python 画棵樱花树送给自己吧
    通宵一晚做出来的一款类似CS的第一人称射击游戏Demo!原来做游戏也不是很难,连憨憨学妹都学会了!
    13 万字 C 语言从入门到精通保姆级教程2021 年版
    10行代码集2000张美女图,Python爬虫120例,再上征途
Copyright © 2022 侵权请联系2656653265@qq.com    京ICP备2022015340号-1
正则表达式工具 cron表达式工具 密码生成工具

京公网安备 11010502049817号