Conti Ransomware

13 марта 2022

Conti Ransomware

Шифровальщик Conti — ransomware-as-a-service (RaaS), является самым популярным шифровальщиком в Darkweb

Conti Ransomware

Шифровальщик Conti — ransomware-as-a-service (RaaS), является самым популярным шифровальщиком в Darkweb.

По данным источников из США на 28.02.2022г., зафиксировано более 1000 случаев, когда совершались атаки на организации с применением Conti. Основной вектор атак включал использование злоумышленниками Trickbot и Cobaltstrike.

Для повышения защищенности инфраструктуры организации, рекомендуется: использовать мультифакторную аутентификацию (MFA), обеспечить сегментацию сети инфраструктуры, поддерживать актуальные обновления ОС и компоненты безопасности.

Индикаторы компрометации в STIX формате.

Злоумышленники группировки Conti часто используют получение доступа [TA0001] к инфраструктуре сети организации через:

Кампанию фишинговой рассылки используя продуманные e-mail письма, содержащие вредоносные вложения [T1566.001] или вредоносные ссылки [T1566.002].
Получение доступа к слабозащищенному RDP или похищение кредов [T1078];
Телефонные звонки;
Распространение и продвижение фейкового софта с использованием движка поисковика;
Другие способы распространения вредоносного ПО (в том числе Zloader);
Уязвимости во внешних активах организаций.

На этапе выполнения вредоносного кода [TA0002], злоумышленники запускают getuid payload перед использование более агрессивной нагрузки, дабы снизить срабатывание средств антивирусной защиты. Исследователи заметили, что члены группировки используют Router Scan, penetration testing tools, сканирование для исполнения вредоносного кода и брутфорса [T1110], также находящиеся в инфраструктуре устройства с web интерфейсом. Дополнительно, члены группировки используют атаки на протокол Kerberos [T1558.003], для получения хеша Админа и брутфорса в дальнейшем.

Злоумышленники Conti известны тем, что эксплуатируют ПО для удаленного мониторинга и централизованного управления, для закрепления в инфраструктуре и создания бэкдора в сети жертвы. Члены группировки используют легитимные утилиты, которые уже установлены в организации, а также по-необходимости загружают свои (дополнительные) утилиты такие как Mimikatz и Windows Sysinternals для получения хешей паролей пользователей и повышения привилегий [TA0004] в домене, что позволяет производить постэксплуатацию и lateral movement tasks [TA0008], в некоторых случаях, злоумышленники используют TrickBot Malware для этих целей.

Согласно отчету Cisco Talos, для эскалации привилегий [TA0004] и продвижения в сети жертвы [TA0008], Conti использовали уязвимости в непропатченном ПО на хостах:

Уязвимости 2017 Microsoft Windows Server Message Block 1.0;
Незакрытую уязвимость «PrintNightmare» (CVE-2021-34527) в службе Windows Print Spooler;
Уязвимость «Zerologon» (CVE-2020-1472) в Microsoft Active Directory Domain Controller.

Артефакты, найденные в некоторых сценариях реагирования указывали на использование различных IP адресов управляющих серверов (C2) для коммуникации Cobalt Strike (для каждой жертвы адрес был уникальный):

162.244.80[.]235
85.93.88[.]165
185.141.63[.]120
82.118.21[.]1

Conti использовали опесорсные решение Rclone CLI для data exfiltration [TA0010]. После кражи чувствительной информации и шифрования данных жертвы [T1486], они выкуп, за расшифровку
и угрожали публикацией данных в открытом доступе, в случае отказа.

MITRE ATT&CK TECHNIQUES

Conti ransomware используют различные техники получения доступа и закрепления в инфраструктуре организации и продвижения:

Валидные данные аккаунта;T1078 link=https://attack.mitre.org/versions/v9/techniques/T1078/;Члены группировки получают доступ к инфраструктуре через украденные данные к RDP. Фишинг с вредоносным вложением;T1566.001 link=https://attack.mitre.org/versions/v8/techniques/T1566/001/;Conti может быть доставлен с использованием TrickBot, который доставляется фишинговой рассылкой (вредоносное вложение, Excel с вложенным макросом). Фишинг с вредоносной ссылкой;T1566.002 link=https://attack.mitre.org/versions/v8/techniques/T1566/002/;Conti может быть доставлен с использованием TrickBot, который доставляется фишинговой рассылкой (вредоносная ссылка). Выполнение link=https://attack.mitre.org/versions/v9/tactics/TA0002/ Command and scripting Interpreter: Windows Command Shell;T1059.003 link=https://attack.mitre.org/versions/v9/techniques/T1059/003/;Сonti использует CMD опции, что позволяет атакующему контролировать процесс сканирования и шифрования файлов. Native API;T1106 link=https://attack.mitre.org/versions/v9/techniques/T1106/;Conti использует вызовы API во время исполнения кода. Закрепление link=https://attack.mitre.org/versions/v9/tactics/TA0003/ Валидные данные аккаунта;T1078 link=https://attack.mitre.org/versions/v9/techniques/T1078/;Члены группировки получают доступ к инфраструктуре через украденные учетные данные к RDP. Внешние удаленные сервисы;T1133 link=https://attack.mitre.org/versions/v9/techniques/T1133/;Злоумышленники зачастую используют сервисы управления удаленным подключением (VPN, Citrix и другие) для получения доступа к инфраструктуре из вне. Повышение привилегий link=https://attack.mitre.org/versions/v9/tactics/TA0004/ Инъекция запущенного процесса: DLL injection;T1055.001 link=https://attack.mitre.org/versions/v9/techniques/T1055/001/;Conti загружает зашифрованные DLL и выполняют их в памяти. Обход средств антивирусной защиты link=https://attack.mitre.org/versions/v9/tactics/TA0005/ Обфускация файлов или информации;T1027 link=https://attack.mitre.org/versions/v9/techniques/T1055/001/;Conti используют зашифрованные DLL и обфусцируют код для скрытия вызовов API в среде Windows. Инъекция запущенного процесса: DLL injection;T1055.001 link=https://attack.mitre.org/versions/v9/techniques/T1055/001/;Conti загружает зашифрованные DLL и выполняют их в памяти. Деобфускация и декодирование файлов или информации;T1140 link=https://attack.mitre.org/versions/v9/techniques/T1140/;Conti шифруют нагрузку используя AES-256 ключ. Получение доступа link=https://attack.mitre.org/versions/v9/tactics/TA0006/ Brute Force;T1110 link=https://attack.mitre.org/versions/v9/techniques/T1110/;Conti используют легитимные инструменты для сканирования и брутфорса роутеров, камер, и устройств находящихся в сети с web-интерфейсом. Кража или получение Kerberos Tickets: Kerberoasting;T1558.003 link=https://attack.mitre.org/versions/v9/techniques/T1558/003/;Члены Conti используют атаки на протокол Kerberos для получения хеша Администратора Обнаружение link=https://attack.mitre.org/versions/v9/tactics/TA0007/ Обнаружение сетевых конфигураций в ОС;T1016 link=https://attack.mitre.org/versions/v9/techniques/T1016/;Conti может получить содержимое таблицы APR с локальной системы, используя API вызов GetIpNetTable() и автоматически проверить, что подключенный IP адрес является адресом другого хоста в сети жертвы. Подключения к сети в ОС;T1049 link=https://attack.mitre.org/versions/v9/techniques/T1049/;Conti может перебирать подключения на локальном скомпрометированном хосте. Обнаружение процессов;T1057 link=https://attack.mitre.org/versions/v9/techniques/T1057/;Conti может перебирать все запущенные процессы с целью поиска строк sql. Обнаружение файлов и директорий;T1083 link=https://attack.mitre.org/versions/v9/techniques/T1083/;Conti может находить файлы и директории на локальном хосте. Обнаружение общедоступных сетевых директорий;T1135 link=https://attack.mitre.org/versions/v9/techniques/T1135/;Conti может перебирать удаленные открытые SMB сетевые директории, используя NetShareEnum(). Lateral Movement link=https://attack.mitre.org/versions/v9/tactics/TA0008/ Службы удаленного доступа: SMB/Windows Admin Shares;T1021.002 link=https://attack.mitre.org/versions/v9/techniques/T1021/002/;Conti может распространяться по сети инфраструктуры используя протокол SMB для шифрования файлов на разных хостах, тем самым компрометируя целую сеть. Заражение через общедоступные сетевые директории;T1080 link=https://attack.mitre.org/versions/v9/techniques/T1080/;Conti может распространяться по сети инфраструктуры используя общедоступные сетевые драйвера. Влияние link=https://attack.mitre.org/versions/v9/tactics/TA0008/ Шифрование данных;T1486 link=https://attack.mitre.org/versions/v9/techniques/T1486/;Conti Ransomware может использовать функции CreateIoCompletionPort(),PostQueuedCompletionStatus(),GetQueuedCompletionPort() для повышения скорости шифрования исключая расширения .exe, .dll, .lnk. Для этого могут использоваться алгоритмы: симметричного шифрования AES-256 и асимметричного RSA-4096 для генерации и обмена ключами с каждой жертвой. Остановка сервисов;T1489 link=https://attack.mitre.org/versions/v9/techniques/T1489/;Ransomware в состоянии останавливать различные сервисы Windows, связанные с созданием резервных копий, безопасностью, базами данных и почтой используя net stop. Предотвращение восстановления системы;T1490 link=https://attack.mitre.org/versions/v9/techniques/T1490/;Ransomware может удалить Windows Shadow копии, используя vssadmin

Индикаторы компрометации:

Исполнение rundll32.exe для выполнения кода загруженных библиотек DLL.
Для обхода средств защиты информации, злоумышленники используют инъекции в запущенные процессы (подробнее в отчете):

Домены используемые группировкой: