透視俄烏網(wǎng)絡(luò)戰(zhàn)之一：數(shù)據(jù)擦除軟件
透視俄烏網(wǎng)絡(luò)戰(zhàn)之二：Conti勒索軟件集團(tuán)（上）

---

2022年2月27日，Twitter賬號(hào)@ContiLeaks發(fā)布了勒索軟件組織Conti的大量聊天記錄后，3月1日，ContiLeaks又泄露了Conti的大量源代碼及培訓(xùn)資料。

1. 管理面板源代碼

分析泄露內(nèi)容發(fā)現(xiàn)，Conti團(tuán)伙使用的大部分代碼來自開源軟件，如PHP框架yii2、Kohana兩個(gè)，被用于構(gòu)建管理面板 。

代碼大部分是用PHP編寫的，由Composer管理，唯一例外的是一個(gè)用Go編寫的工具的存儲(chǔ)庫。存儲(chǔ)庫還包含一些配置文件，其中列出了本地?cái)?shù)據(jù)庫用戶名和密碼，以及一些公共IP地址。

2. Pony憑證竊取惡意軟件

Conti Pony Leak 2016.7z文件主要是電子郵件賬號(hào)密碼庫，包括gmail.com、mail.ru、yahoo.com等郵件服務(wù)商。很明顯，這是由Pony憑證竊取惡意軟件從各種來源盜竊來的。Pony的歷史至少可以追溯到2018年，是詐騙分子們最喜愛的憑證盜竊軟件之一。

壓縮包內(nèi)還包含來自FTP/RDP、SSH服務(wù)以及其他多個(gè)不同網(wǎng)站的憑證。

3. TTPs

TTPs: Tactics, Techniques and Procedures

Conti Rocket Chat Leaks.7z中包含Conti團(tuán)伙成員關(guān)于攻擊目標(biāo)、攻擊手段，以及運(yùn)用Cobalt Strike實(shí)施攻擊的聊天記錄。

tactics, techniques and procedures

Conti團(tuán)伙成員們?cè)诮徽勚刑岬竭^以下攻擊技術(shù)：

• Active Directory枚舉
• 通過sqlcmd進(jìn)行SQL數(shù)據(jù)庫枚舉
• 如何訪問Shadow Protect SPX（StorageCraft）備份
• 如何創(chuàng)建NTDS轉(zhuǎn)儲(chǔ)與vssadmin
• 如何打開新RDP端口1350

涉及以下工具：

• Cobalt Strike
• Metasploit
• PowerView
• ShareFinder
• AnyDesk
• Mimikatz

4. Conti Locker v2源代碼

此次泄漏文件還包含Conti Locker v2源代碼以及一個(gè)解密器源代碼。但有推特網(wǎng)友稱，這款解密器已經(jīng)沒法使用。

解密器的工作原理有點(diǎn)像解壓縮有密碼保護(hù)的文件，只是過程更復(fù)雜，因?yàn)樗鼈円蚶账鬈浖易宥悺Ｓ行┙饷芷鞅粌?nèi)置到一個(gè)獨(dú)立的二進(jìn)制文件中，有些可以遠(yuǎn)程啟用，它們通常都有內(nèi)置的鑰匙。

5. Conti團(tuán)伙培訓(xùn)材料

此次泄露文件還有培訓(xùn)材料，有俄語在線課程視頻及以下TTPs清單的具體操作方法：

• 破解/Cracking
• Metasploit
• 網(wǎng)絡(luò)滲透
• Cobalt Strike
• 使用PowerShell進(jìn)行滲透
• Windows紅隊(duì)攻擊
• WMI攻擊（與防御）
• SQL Server
• Active Directory
• 逆向工程

Conti的培訓(xùn)課程：CyberArk

6. TrickBot泄露

另一個(gè)泄露文件是TrickBot木馬/惡意軟件使用的論壇聊天記錄，內(nèi)容涵蓋2019-2021。

其中，大多數(shù)內(nèi)容是在討論如何實(shí)現(xiàn)網(wǎng)絡(luò)橫向移動(dòng)、如何使用某些工具，以及一些關(guān)于TrickBot和Conti團(tuán)伙的TTPs信息。例如，在一封帖子中，某位成員分享了他的webshell，并表示“這是我用過的最輕量級(jí)、最耐用的webshell”。此外，還包含2021年7月上旬Conti團(tuán)伙利用Zerologon等漏洞的證據(jù)。這并不奇怪，畢竟從2020年9月開始，GitHub上先后出現(xiàn)過4個(gè)針對(duì)此漏洞的PoC，以及大量漏洞技術(shù)細(xì)節(jié)。

其他泄露內(nèi)容還包括用Erlang編寫的服務(wù)器端組件：trickbot-command-dispatcher-backend、trickbot-data-collector-backend，被稱為lero與dero。

代碼泄露是一把雙刃劍，從防御的角度看，這會(huì)幫助研究人員更好地了解TrickBot工作原理，進(jìn)而采取更可靠的防御手段;但另一方面，這些源代碼也將流入其他惡意軟件開發(fā)者手中，指導(dǎo)他們開發(fā)出更多甚至更好的類似TrickBot的惡意軟件。

參考

[1] Conti Ransomware Decryptor, TrickBot Source Code Leaked
[2] Conti Ransomware Group Internal Chats Leaked Over Russia-Ukraine Conflict