惠州网站建设 熊掌号,最新军事报道,石家庄网站制作公司,网站图标只做透视俄乌网络战之一#xff1a;数据擦除软件 透视俄乌网络战之二#xff1a;Conti勒索软件集团#xff08;上#xff09; Conti勒索软件集团#xff08;下#xff09; 1. 管理面板源代码2. Pony凭证窃取恶意软件3. TTPs4. Conti Locker v2源代码5. Conti团伙培训材料6. T…透视俄乌网络战之一数据擦除软件 透视俄乌网络战之二Conti勒索软件集团上 Conti勒索软件集团下 1. 管理面板源代码2. Pony凭证窃取恶意软件3. TTPs4. Conti Locker v2源代码5. Conti团伙培训材料6. TrickBot泄露 2022年2月27日Twitter账号ContiLeaks发布了勒索软件组织Conti的大量聊天记录后3月1日ContiLeaks又泄露了Conti的大量源代码及培训资料。 1. 管理面板源代码
分析泄露内容发现Conti团伙使用的大部分代码来自开源软件如PHP框架yii2、Kohana两个被用于构建管理面板 。 代码大部分是用PHP编写的由Composer管理唯一例外的是一个用Go编写的工具的存储库。存储库还包含一些配置文件其中列出了本地数据库用户名和密码以及一些公共IP地址。
2. Pony凭证窃取恶意软件
Conti Pony Leak 2016.7z文件主要是电子邮件账号密码库包括gmail.com、mail.ru、yahoo.com等邮件服务商。很明显这是由Pony凭证窃取恶意软件从各种来源盗窃来的。Pony的历史至少可以追溯到2018年是诈骗分子们最喜爱的凭证盗窃软件之一。
压缩包内还包含来自FTP/RDP、SSH服务以及其他多个不同网站的凭证。
3. TTPs
TTPs: Tactics, Techniques and Procedures
Conti Rocket Chat Leaks.7z中包含Conti团伙成员关于攻击目标、攻击手段以及运用Cobalt Strike实施攻击的聊天记录。
tactics, techniques and procedures
Conti团伙成员们在交谈中提到过以下攻击技术
Active Directory枚举通过sqlcmd进行SQL数据库枚举如何访问Shadow Protect SPXStorageCraft备份如何创建NTDS转储与vssadmin如何打开新RDP端口1350
涉及以下工具
Cobalt StrikeMetasploitPowerViewShareFinderAnyDeskMimikatz
4. Conti Locker v2源代码
此次泄漏文件还包含Conti Locker v2源代码以及一个解密器源代码。但有推特网友称这款解密器已经没法使用。
解密器的工作原理有点像解压缩有密码保护的文件只是过程更复杂因为它们因勒索软件家族而异。有些解密器被内置到一个独立的二进制文件中有些可以远程启用它们通常都有内置的钥匙。
5. Conti团伙培训材料
此次泄露文件还有培训材料有俄语在线课程视频及以下TTPs清单的具体操作方法
破解/CrackingMetasploit网络渗透Cobalt Strike使用PowerShell进行渗透Windows红队攻击WMI攻击与防御SQL ServerActive Directory逆向工程
Conti的培训课程CyberArk 6. TrickBot泄露
另一个泄露文件是TrickBot木马/恶意软件使用的论坛聊天记录内容涵盖2019-2021。
其中大多数内容是在讨论如何实现网络横向移动、如何使用某些工具以及一些关于TrickBot和Conti团伙的TTPs信息。例如在一封帖子中某位成员分享了他的webshell并表示“这是我用过的最轻量级、最耐用的webshell”。此外还包含2021年7月上旬Conti团伙利用Zerologon等漏洞的证据。这并不奇怪毕竟从2020年9月开始GitHub上先后出现过4个针对此漏洞的PoC以及大量漏洞技术细节。
其他泄露内容还包括用Erlang编写的服务器端组件trickbot-command-dispatcher-backend、trickbot-data-collector-backend被称为lero与dero。 代码泄露是一把双刃剑从防御的角度看这会帮助研究人员更好地了解TrickBot工作原理进而采取更可靠的防御手段;但另一方面这些源代码也将流入其他恶意软件开发者手中指导他们开发出更多甚至更好的类似TrickBot的恶意软件。
参考
[1] Conti Ransomware Decryptor, TrickBot Source Code Leaked [2] Conti Ransomware Group Internal Chats Leaked Over Russia-Ukraine Conflict
