Conti勒索软件分析报告
2021-12-21 16:52:27 Author: www.4hou.com(查看原文) 阅读量:13 收藏

1.概述

近日,安天CERT监测到Conti勒索软件呈现活跃趋势。该勒索软件家族被发现于2019年,其背后的攻击组织在地下论坛以RaaS(勒索软件即服务)形式运营,并广泛招收附属成员。自2020年5月开始,攻击活动逐渐增多,持续活跃至今。该勒索软件主要通过钓鱼邮件、利用其他恶意软件、漏洞利用和远程桌面协议(RDP)暴力破解进行传播,组合利用多种工具实现内网横向移动,2021年12月Log4j被曝漏洞(CVE-2021-44228)后,Conti勒索软件运营者开始利用存在Log4j漏洞的VMWare vCenter进行横向移动。2020年7月利用匿名化Tor建立赎金支付与数据泄露平台,采用“威胁曝光企业数据+加密数据勒索”双重勒索策略。

安天CERT通过关联分析发现,该组织同运营Ryuk勒索软件的Wizard Spider黑客组织分支机构Grim Spider存在一定关系[1]。结合Ryuk勒索软件攻击活跃度逐渐降低,二者使用的攻击工具部分相同,攻击载荷代码段相似,都曾利用TrickBot、Emotet、IcedID和BazarLoader等木马程序进行传播等多种原因,安天CERT推测Conti勒索软件将成为Ryuk勒索软件的继承者。

Conti勒索软件通过Tor建立网站,发布受害者信息及窃取到的数据文件。自其于2020年7月29日公布第一个受害者信息以来,截至2021年12月15日,共计公布了631个受害者信息,其中,2021年在全球范围内影响了超过470个组织机构。据安天CERT统计,2021年11月1日至12月15日,被公开的受害者数量为90个,且可能存在未被公开的受害者。受害者所属国家主要集中于美国、意大利、德国、澳大利亚和法国,所属行业涉及制造、服务、建筑、金融、能源、医疗和政府组织机构。我国也有被公开的受害者。

经验证,安天智甲终端防御系统(简称IEP)可实现对该勒索软件的有效查杀和对用户终端的切实防护。

2.近期攻击活动案例

· 攻击爱尔兰卫生服务执行局并窃取700GB敏感文件

2021年5月14日,爱尔兰卫生服务执行局(HSE)遭受Conti勒索软件攻击,导致多家医院的服务取消和中断[2]。Conti勒索软件攻击者声称从HSE窃取了700GB的未加密文件,包括患者信息和员工信息、合同、财务报表、工资单等。爱尔兰总理表示,他们拒绝向Conti勒索软件背后的攻击组织支付2000万美元的赎金。

· 攻击美国俄克拉荷马州塔尔萨市并窃取18000多份敏感文件

美国俄克拉荷马州塔尔萨市在5月遭受Conti勒索软件攻击,这次攻击破坏了塔尔萨市的在线账单支付系统、公用事业账单系统和电子邮件系统[3]。Conti勒索软件背后的攻击组织声称对此负责并表示已经公开窃取到的18938份文件。

· 攻击日本电子产品供应商并窃取1.5TB数据

9月22日,总部位于日本的跨国电子产品供应商JVCKenwood遭受Conti勒索软件攻击,攻击者声称窃取了1.5TB的数据并要求支付700万美元的赎金[4]。

· 攻击英国伦敦高端珠宝商并窃取大量名人、政治家和国家元首数据文件

总部位于英国伦敦的高端珠宝商Graff在10月遭受Conti勒索软件攻击,被窃取文件中包含众多名人、政治家和国家元首的数据文件[5]。该起事件的攻击组织在其Tor网站上发布了数万份文件,迫于政治压力,11月4日该组织发表声明,任何与沙特阿拉伯、阿联酋和卡塔尔家庭成员有关的信息将被删除,并向穆罕默德·本·萨勒曼王子殿下和其他所有王室成员致歉[6]。

3.组织信息

Conti勒索软件家族被发现于2019年,其背后的攻击组织在地下论坛以RaaS(勒索软件即服务)形式运营,并广泛招收附属成员。自2020年5月开始,攻击活动逐渐增多,持续活跃至今。该勒索软件主要通过钓鱼邮件、利用其他恶意软件、漏洞利用和远程桌面协议(RDP)暴力破解进行传播,组合利用多种工具实现内网横向移动。2020年7月利用匿名化Tor建立赎金支付与数据泄露平台,采用“威胁曝光企业数据+加密数据勒索”双重勒索策略。                         

3-1Conti勒索软件组织运营的Tor网站.png

图 3- 1 Conti勒索软件组织运营的Tor网站

通过分析对比发现,Conti使用的勒索信模板与Ryuk勒索软件在早期版本攻击活动中使用的相同。Conti在其攻击活动中使用与Ryuk相同的TrickBot银行木马进行传播,TrickBot的运营商是位于俄罗斯的黑客组织Wizard Spider,Grim Spider作为Wizard Spider的分支,自2018年8月以来一直在运营Ryuk勒索软件,当Ryuk的攻击活动呈下降趋势时,Conti攻击活动趋势却有所上升[7]。

安天CERT通过关联分析发现,该组织同运营Ryuk勒索软件的Wizard Spider黑客组织分支机构Grim Spider存在一定关系。结合Ryuk勒索软件攻击活跃度逐渐降低,二者使用的攻击工具部分相同,攻击载荷代码段相似,都曾利用TrickBot、Emotet、IcedID和BazarLoader等木马程序进行传播等多种原因,安天CERT推测Conti勒索软件将成为Ryuk勒索软件的继承者。

2021年8月5日,自称是Conti勒索软件组织的附属机构成员,因分赃不均心怀不满,在地下论坛泄露了该组织用于培训附属成员的资料,包括如何在受害者网络中内部访问、横向移动、升级访问权限、在加密文件之前泄露其数据的手册和技术指南等文件。通过泄露出的文件名称来看部分为俄文,也印证了该组织可能与俄罗斯有关。

3-2.png

图3-2 泄露文件内容

因部分受害者未按其要求支付赎金,Conti组织运营者发布声明要向外出售部分已入侵受害组织的访问权限。

3-3.png

图3-3 出售受害者系统访问权限声明

4. 受害者信息

Conti勒索软件通过Tor建立网站,发布受害者信息及窃取到的数据文件。自其于2020年7月29日公布第一个受害者信息以来,截至2021年12月15日,共计公布了631个受害者信息,其中,2021年在全球范围内影响了超过470个组织机构。

攻击者在入侵受害者系统后,会窃取系统中的文件,在Tor网站上公开部分窃取到的数据,以百分比的进度进行公开,已公开的数据任何访问者都可自行下载,以威胁受害者及时支付数据,未按期支付则会全部公开。部分大小为0的数据,猜测可能是受害者支付了赎金,攻击者未对其数据进行公开。

4-1.png

图4- 1 公开窃取到的数据

据安天CERT统计,2021年11月1日至12月15日,被公开的受害者数量为90个,且可能存在未被公开的受害者。受害者所属国家主要集中于美国、意大利、德国、澳大利亚和法国,所属行业涉及制造、服务、建筑、金融、能源、医疗和政府组织机构。我国也有被公开的受害者。数据大小根据已泄露文件所占百分比进行换算,公开的受害者信息如下表所示:

表 4‑1 受害者信息表.jpg

针对该勒索软件,安天建议个人及企业采取如下防护措施:

5. 防护建议

5.1 个人防护

1. 强化终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启);

2. 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

3. 及时更新补丁:建议开启自动更新功能,安装系统补丁,服务器应及时更新系统补丁;

4. 关闭高危端口:关闭3389、445、139、135等不用的高危端口;

5. 关闭PowerShell:如不使用PowerShell命令行工具,建议将其关闭;

6. 定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离;

5.2 企业防护

1. 开启日志:开启关键日志收集功能(安全日志、系统日志、PowerShell日志、IIS日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;

2. 设置IP白名单规则:配置高级安全Windows防火墙,设置远程桌面连接的入站规则,将使用的IP地址或IP地址范围加入规则中,阻止规则外IP进行暴力破解;

3. 主机加固:对系统进行渗透测试及安全加固;

4. 部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对勒索软件及时发现与追踪溯源。建议部署安天探海威胁检测系统(PTD),该系统以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

5. 灾备预案:建立安全灾备预案,确保备份业务系统可以快速启用;

6. 安天服务:若遭受勒索软件攻击,建议及时断网,并保护现场等待安全工程师对计算机进行排查。安天7*24小时服务热线:400-840-9234。

目前,安天智甲终端防御系统(简称IEP)可实现对该勒索软件的有效查杀和对用户终端的切实防护。

5-1.png 

图5-1 安天智甲有效防护

5-2.png 

图5-2 安天智甲阻止加密行为

6.样本分析

6.1 样本标签

表 6‑1样本标签

6-1.png

6.2 勒索软件概览

表 6-2 Conti勒索软件概览

6-2.png

6.3   样本分析

该样本中包含大量与实际勒索程序无关的函数和自定义字符串,以增加逆向分析难度。

 6-1.png

图6-1 插入大量无关代码

添加自定义字符串以干扰分析。

6-2.png 

图6-2 插入大量自定义字符串

调试中发现创建互斥量“kasKDJSAFJauisiudUASIIQWUA82”保证运行单一实例。

6-3.png

图6-3 创建互斥量

采用多线程执行操作以提高遍历系统磁盘的速度。

6-4.png

图6-4 多线程运行

遍历磁盘各级目录。

6-5.png

图6-5 遍历磁盘

遍历各级目录下文件。

6-6.png

图6-6遍历文件

通过ARP广播,获取局域网内存在的主机信息,访问判断对应主机是否开放445端口,对获取到的信息进行回传,便于开展后期内网渗透攻击。

6-7.png

图6-7 获取局域网内其他主机信息

加密完成后在各磁盘目录及桌面释放名为"readme.txt"的勒索信。

6-8.png

图6-8 创建名为readme.txt的勒索信

将勒索信内容写入后,创建于存在被加密文件的目录下。

6-9.png

图6- 9 勒索信息内容写入

攻击者未在勒索信中给予具体赎金要求,实际的勒索金额需在其特定的Tor网站沟通后得知。

6-10.png

图6-10 勒索信

文件加密完成后,在原始文件后缀添加.NEWCD作为新的后缀名。

6-11.png

图6-11添加后缀

被加密文件格式为

6-12.png

图6-12 加密文件格式

7.参考链接

[1]      检测Conti勒索软件——臭名昭著的Ryuk的继任者

https://www.logpoint.com/en/blog/detecting-conti-ransomware-the-successor-of-infamous-ryuk/

[2]      系统遭到Conti勒索软件团伙攻击后,爱尔兰健康服务执行局(HSE)拒绝支付2000万美元的赎金要求

https://securityaffairs.co/wordpress/118001/cyber-crime/ireland-health-service-executive-conti-ransomware.html

[3]      塔尔萨警方称,Conti勒索软件遭到黑客攻击后,18000个文件被泄露

https://www.zdnet.com/article/tulsa-warns-residents-that-police-citations-and-reports-leaked-to-dark-web-after-conti-ransomware-attack/

[4]      JVCKenwood被Conti勒索软件攻击,声称窃取了1.5TB数据

https://www.bleepingcomputer.com/news/security/jvckenwood-hit-by-conti-ransomware-claiming-theft-of-15tb-data/

[5]      Conti Group在对珠宝商进行赎金攻击后泄露名人数据

https://www.infosecurity-magazine.com/news/conti-leak-celebs-data-ransom/

[6]      Conti致歉声明

https://pastebin.com/eeLNnAG0

[7]      Conti勒索软件被确定为Ryuk的潜在继任者

https://securityintelligence.com/news/news-conti-ransomware-ryuks-successor/

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/lEmV
如有侵权请联系:admin#unsafe.sh