0. Conti介紹

勒索軟件即服務(wù)（Ransomware as a Service，RaaS）變體 Conti 推出還不到兩年，已經(jīng)進行了第七次迭代。Conti被證明是一種敏捷而熟練的惡意軟件威脅，能夠自主和引導(dǎo)操作，并具有無與倫比的加密速度。截至 2021 年 6 月，Conti獨特的功能集已幫助其附屬公司從 400 多個組織勒索數(shù)百萬美元。

1. Conti攻擊概述

Conti的行為與大多數(shù)勒索軟件類似，但它經(jīng)過精心設(shè)計，更加高效且更具規(guī)避性。具體來說，Conti在混淆能力、運行速度以及文件加密方面進行持續(xù)優(yōu)化，其主要特征包括：

混淆能力提升：自早期的Conti（2019 年末）通過簡單的 XOR 機制來隱藏在運行時解析的 API 名稱。從2020年6月開始，Conti還采用了字符串混淆的自定義編碼函數(shù)。

運行速度提升：Conti使用多達32個并發(fā)CPU線程進行文件加密操作，并且從2020年9月開始Conti將加密算法從AES切換為CHACHA。

文件加密優(yōu)化：2020年9月后，Conti添加了新的文件加密邏輯（部分加密）。2021年1月后，Conti在加密過程中引入C++ 隊列和鎖，取代了原先使用的IoCompletionPorts。

2. 勒索軟件影響

Conti由所謂的TrickBot團伙開發(fā)和維護，主要通過RaaS隸屬模式運營。Conti勒索軟件源自Ryuk的代碼庫，并依賴于相同的TrickBot基礎(chǔ)設(shè)施。Conti 樣本于 2019 年 10 月左右首次出現(xiàn)，截至2021年6月已經(jīng)發(fā)生399 起Conti攻擊，攻擊事件統(tǒng)計如下圖所示。

3. 勒索軟件演進

測試版本

導(dǎo)入函數(shù)：Conti使用LoadLibraryA和GetProcAddress手動鏈接導(dǎo)入函數(shù)，所有 API 的名稱均使用字節(jié)0x99進行簡單的XOR編碼。此版本中未對DLL的名稱進行編碼，除了一些來自Rstrtmgr.dll的可選導(dǎo)入之外。除此之外，GetProcAddress函數(shù)最終會確保它擁有它正在尋找的所有強制API。否則，它使用 ExitProcess退出程序。

加載資源：Conti會加載 PE 文件中的兩個資源。第一個將用作贖金票據(jù)的文本（在最早的版本中設(shè)置為“測試票據(jù)”），而第二個是用逗號分隔的字符串列表，通過這些字符串可以過濾目標(biāo)文件。這允許對上述資源進行簡單修改可以實現(xiàn)定制化的勒索攻擊，而無需重新編譯勒索軟件。

加密前操作：Conti首先通過命令行(所有命令字符串均通過字節(jié) 0x99 進行異或編碼)刪除系統(tǒng)驅(qū)動器上的卷影副本，之后通過命令行停止系統(tǒng)上約170項服務(wù)，然后迭代系統(tǒng)上正在運行的所有進程并終止“sql”相關(guān)的進程。完成上述操作之后，Conti查詢系統(tǒng)中處理器的數(shù)量，并創(chuàng)建兩倍于處理器數(shù)量的IoCompletionPort與處理器數(shù)量的線程。

目標(biāo)文件獲取：Conti在創(chuàng)建線程后，Conti查找系統(tǒng)上所有驅(qū)動器，并運行其邏輯（目標(biāo)文件過濾）來選擇每個驅(qū)動器上的目標(biāo)文件。遍歷所有驅(qū)動器后，Conti使用所有線程從GetIpNetTable返回所有IP地址，對每個IP地址調(diào)用NetShareEnum獲取網(wǎng)絡(luò)共享列表，并獲取目標(biāo)文件。

文件加密：Conti的文件加密主要通過其迭代函數(shù)與加密函數(shù)實現(xiàn)，（1）迭代函數(shù)會獲取一個文件夾作為參數(shù)，并通過FindFirstFile API搜索文件夾中的所有文件。（2）加密函數(shù)首先從PE文件數(shù)據(jù)部分加載RSA公鑰，之后從IoCompletionPorts中獲取目標(biāo)文件路徑，然后通過AES+RSA對目標(biāo)文件進行混合加密，最后將文件的擴展名改為“.CONTI”并對下一個目標(biāo)文件進行加密。

正式版本

目標(biāo)文件獲取：Conti在以迭代的方式在各驅(qū)動器上并行搜索目標(biāo)的文件。具體來說，Conti會為每個驅(qū)動器創(chuàng)建一個新線程，并以驅(qū)動器根路徑作為參數(shù)通過迭代函數(shù)獲取目標(biāo)文件。這是一個很好的補充，可以提高速度。

文件加密：Conti在以前的版本中，加密的 AES 密鑰和原始文件大小都在加密之前寫入文件的末尾。然而，在此版本中，只有在文件完全加密后才會寫入原始文件大小。

改進版本v1

命令行參數(shù)：Conti引入加密模式、網(wǎng)絡(luò)位置等命令行參數(shù)，方便攻擊者實施自定義勒索攻擊。

函數(shù)導(dǎo)入：Conti使用自定義編碼函數(shù)代替簡單的單字節(jié) XOR，且更多字符串被混淆。

加密前操作：Conti減少了 36 個服務(wù)的停止，創(chuàng)建互斥體以避免不同實例之間的相互干擾。

目標(biāo)文件獲取：Conti通過GetIpNetTable中的本地IP（如，192.168.*）查找共享文件。

改進版本v2

命令行參數(shù)：FAdded支持對其他命令行參數(shù)的支持。在此版本中，可以將目錄列表指定為搜索要加密的感興趣文件的目標(biāo)。此外，可以給出一個日志記錄標(biāo)志，盡管它直到更高版本才實現(xiàn)。

函數(shù)導(dǎo)入：在大多數(shù)情況下，Conti 不會嵌入 DLL 的普通名稱及其所需的導(dǎo)出，而是僅保留所需字符串的哈希值。通過哈希僅找到 kernel32.dll。其余的 DLL 名稱嵌入在可執(zhí)行文件中，現(xiàn)已進行模糊處理，并使用 LoadLibraryA API 加載。選擇的 API hash函數(shù)是 Murmur2A8，其常量種子設(shè)置為 0x5B2D，用于小寫 ASCII 字符串。

新實現(xiàn)的鉤子刪除邏輯在加載所有必要的 DLL 后發(fā)生。對于每個加載的 DLL，Conti 會讀取磁盤上的文件并遍歷其中的所有導(dǎo)出，查找前幾個字節(jié)的差異。如果在磁盤版本和內(nèi)存版本之間發(fā)現(xiàn)任何此類差異，則內(nèi)存中的字節(jié)將被從磁盤讀取的字節(jié)替換。鉤子刪除函數(shù)中使用的 API 是通過加載時鏈接的 LoadLibraryA 和 GetProcAddress 獲取的，這又是一個新添加，沒有經(jīng)過將 API 切換為運行時加載的 API 的重構(gòu)。

加載資源：這兩個資源已被刪除。勒索字條內(nèi)容已移至可執(zhí)行文件的數(shù)據(jù)部分，同時刪除了加密特定文件模式而不是默認文件模式的功能。我們推測作者發(fā)現(xiàn)后一個功能不值得支持，因為我們從未見過它在實踐中使用。

加密前操作：刪除服務(wù)的能力已被刪除。允許刪除卷影副本的功能以不同的方式實現(xiàn)，在本示例的邏輯中更進一步。如果選擇本地加密模式，該示例將通過使用 WMIC9 運行命令來刪除在 ROOT\CIMV2 上查詢 Win32_ShadowCopy 時找到的卷影副本。與之前使用 vssadmin10 刪除固定數(shù)量的驅(qū)動器相比，這些驅(qū)動器可能啟用也可能未啟用卷影副本，甚至可能未安裝在磁盤上，甚至可能會丟失帶有卷影副本的驅(qū)動器。

重新實現(xiàn)已刪除的功能，為從 IoCompletionPorts 讀取而創(chuàng)建的線程數(shù)量又恢復(fù)到基于系統(tǒng)上可用處理器的數(shù)量。這次，它取決于勒索軟件的執(zhí)行模式，在指定“僅本地”或“僅網(wǎng)絡(luò)”加密的情況下為每個處理器創(chuàng)建一個線程，如果同時使用兩種模式，則創(chuàng)建兩倍的線程。有趣的是，此版本中的重新實現(xiàn)使用了從 GetNativeSystemInfo 查詢返回的錯誤值，使用 dwActiveProcessorMask 而不是 dwNumberOfProcessors。這個小bug在后續(xù)版本中得到修復(fù)。

目標(biāo)文件獲取：“169.*”形式的地址被添加到 IP 地址列表中以搜索共享?，F(xiàn)在使用 inet_ntoa API，而不是使用 InetNtopW 將地址轉(zhuǎn)換為寬字符串，使字符串只有字節(jié)大小。不是執(zhí)行 32 個線程來搜索這些 IP 地址上的共享，而是只有一個線程在做臟活。

在尋找網(wǎng)絡(luò)共享的過程中還有一項額外的檢查。首先使用惡意軟件手動創(chuàng)建的套接字檢查地址是否有 445 上的開放端口。然后，僅對應(yīng)答檢查的 IP 調(diào)用 NetShareEnum API。此更改應(yīng)該會減少在沒有任何地址的地址上查詢共享的噪音。

文件加密：不同的文件采用不同的邏輯進行加密。我們有一個包含 171 個擴展名的新列表，其中文件的全部內(nèi)容都被加密，然后還有另一個包含 20 個擴展名的列表，其中僅對文件的某些部分進行了加密。最后，其余文件按大小進行分類。

加密算法由AES改為ChaCha。密鑰仍然是按文件隨機生成的，并在使用二進制文件數(shù)據(jù)部分中嵌入的 RSA 公鑰加密后寫入文件末尾。

加密文件的擴展名已從 .CONTI 更改為 .YZXXX，這可能有助于避免根據(jù)已知的擴展名更改檢測到勒索軟件。

4. 勒索軟件分析

2022年Conti源碼泄露，通過深入分析Conti源碼可以很好的回答下面幾個問題：

• Conti勒索軟件與其他勒索軟件有什么不同？
• Conti勒索軟件如何逃避靜態(tài)分析和EDR系統(tǒng)的檢測？
• Conti勒索軟件使用那種哈希算法實現(xiàn)字符串、庫以及API的混淆？
• Conti勒索軟件使用了哪些庫和API？
• Conti勒索軟件使用那種加密算法對目標(biāo)文件進行加密？
• Conti如何實現(xiàn)Windows卷影副本的刪除和網(wǎng)絡(luò)分享文件的加密？