Conti: Le playbook traduit du ransomware donne un aperçu des attaques

0

Près d’un mois après qu’un affilié mécontent de Conti ait divulgué le manuel d’attaque du gang, les chercheurs en sécurité ont partagé une version traduite qui clarifie toute interprétation erronée causée par la traduction automatique.

En plus de fournir des informations sur les méthodes d’attaque du gang et la rigueur des instructions, qui permettent à des pirates moins qualifiés de devenir des affiliés au ransomware Conti et d’atteindre des cibles précieuses.

Conti
Fuite du matériel de formation de Conti

Peu de compétences requises

Les linguistes travaillant avec les chercheurs de Cisco Talos ont examiné le matériel divulgué pour fournir une version intelligible qui décrit avec précision les techniques et les outils du gang.

Les scénarios d’attaque décrits dans les documents étaient si complets que « même des adversaires amateurs [pourraient] mener des attaques destructrices de ransomware », selon les chercheurs.

« Le peu de compétences requises peut également avoir conduit à la fuite causée par un membre mécontent qui était considéré comme moins technique (alias « un script kiddie ») et moins important »

Parmi les « conseils » fournis dans les manuels, il y a la façon d’obtenir un accès administrateur après avoir violé le réseau d’une victime en utilisant des commandes et des outils pour répertorier les utilisateurs, en particulier ceux ayant un accès à Active Directory.

Une reconnaissance simple comme la vérification de LinkedIn et d’autres plateformes de réseaux sociaux pour identifier les employés ayant un accès privilégié est également détaillée, avec une note expliquant que les techniques fonctionnent mieux pour les entreprises aux États-Unis et en Europe.

Outils et techniques de Conti

Le meilleur outil décrit dans le matériel divulgué est le framework d’équipe rouge de Cobalt Strike, accompagné d’une version 4.3 crackée du logiciel.

Les instructions d’utilisation faisaient également référence à l’exploitation de la vulnérabilité ZeroLogon (CVE-2020-1472). Les autres bogues critiques mentionnés dans le playbook du ransomware Conti sont PrintNightmare (CVE-2021-1675, CVE-2021-34527) et EternalBlue (CVE-2017-0143/0148).

Certains des outils détaillés par l’adversaire ne sont pas ce que les chercheurs de Cisco voient généralement lors des missions de réponse aux incidents:

  • Armitage – Interface graphique basée sur Java pour la plate-forme de test d’intrusion Metasploit
  • SharpView – un port .NET de l’outil PowerView de la boîte à outils offensive PowerSploit basée sur PowerShell
  • SharpChrome – pour déchiffrer les connexions et les cookies dans Chrome
  • SeatBelt – collecte des données système telles que la version du système d’exploitation, la politique UAC, les dossiers utilisateur

Parmi les autres outils et utilitaires de ligne de commande décrits dans les documents divulgués:

  • ADFind – Outil de requête Active Directory
  • Framework PowerShell – pour désactiver Windows Defender
  • GMER – une alternative pour identifier les solutions de sécurité et les désactiver
  • SMBAutoBrute – pour utiliser la force brute sur les comptes sur le domaine actuel
  • Kerberoasting – une technique pour utiliser la force brute pour déchiffrer le hachage d’un mot de passe Kerberos
  • Mimikatz – pour récupérer les mots de passe dans la mémoire
  • RouterScan – un outil pour découvrir des périphériques sur le réseau et pour extraire des mots de passe via un exploit ou une attaque de force brute.
  • AnyDesk – application de bureau à distance, pour la persistance
  • Atera – un autre logiciel d’accès à distance

Avant de passer à la partie exploitation, les affiliés sont invités à se renseigner sur les revenus de leur victime en recherchant des informations open source.

La fuite de l’affilié de Conti en colère inclut également des didacticiels vidéo, principalement en russe, qui expliquent comment utiliser PowerShell pour des tests d’intrusion, attaquer Active Directory ou comment utiliser SQL Server dans un domaine Windows.

La plupart des didacticiels vidéo (Metasploit, PowerShell, attaques et défense WMI, tests d’intrusion réseau) destinés aux affiliés proviennent de diverses ressources de sécurité offensives facilement disponibles en ligne.

Les chercheurs de Cisco Talos pensent que la version traduite de la documentation de Conti divulguée aidera d’autres chercheurs à mieux comprendre les tactiques, les techniques et les procédures de ces pirates informatiques ainsi que d’autres qui pourraient s’inspirer de la documentation.

« C’est une opportunité pour les défenseurs de s’assurer qu’ils ont une logique en place pour détecter ces types de comportements ou des contrôles compensatoires pour aider à atténuer le risque. Cette traduction doit être considérée comme une opportunité pour les défenseurs de mieux comprendre le fonctionnement de ces groupes et les outils qu’ils ont tendance à utiliser dans ces attaques » – Cisco Talos

Les chercheurs fournissent des textes individuels traduits dans une archive ZIP ainsi qu’un fichier PDF. Un résumé des matériaux est également disponible auprès de Fortinet.

Laisser un commentaire