افشای اسرار حملات باج‌افزار Conti با انتشار کتابچه راهنمای آن

تقریباً یک ماه پس از افشای کتابچه راهنمای گروه باج‌افزاری Conti توسط یکی از اعضای جداشده و ناراضی این گروه، محققان امنیتی سیسکو (.Cisco Systems, Inc) نسخه ترجمه شده‌ای از آن را به اشتراک گذاشته‌اند.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، محتویات این کتابچه مورد بررسی قرار گرفته است.

در کتابچه مذکور، ضمن پرداختن به روش‌های حمله، دستورالعمل‌های دقیق و مبسوطی ارائه شده که حتی به مهاجمان کم مهارت اجازه می‌داده تا به عنوان مشترک Conti RaaS اهداف ارزشمندی را مورد حمله قرار دهند.

 

 

محققان امنیتی سیسکو با همکاری تعدادی زبان‌شناس اقدام به بررسی مطالب نشت شده و ارائه نسخه انگلیسی قابل فهمی نموده‌اند که تکنیک‌ها و ابزارهای مهاجمان را به طور دقیق توصیف می‌کند.

به نقل از محققان امنیتی، سناریوهای حمله توصیف شده در این اسناد آنقدر کامل است که حتی مهاجمان آماتور نیز می‌توانند با بهره‌گیری از آنها حملات مخرب و باج‌افزاری را اجرا کنند.

 

 

ضمناً در این کتابچه، فرامین و ابزارهایی برای استخراج فهرست کاربران پس از نفوذ در شبکه قربانی و دستیابی به رمز عبور کاربران با سطح دسترسی بالا، به ویژه افرادی که دارای حق دسترسی به Active Directory هستند، ارائه شده است. جهت کشف کارکنان با سطح دسترسی بالا روش‌هایی همچون شناسایی افراد از طریق بررسی LinkedIn و سایر رسانه‌های اجتماعی نیز با جزئیات ذکر شده است.

یکی از اصلی‌ترین ابزارهایی که در این کتابچه شرح داده شده، نسخه کرک 4.3 نرم‌افزار Cobalt Strike است.

 

 

از دستورالعمل‌های کاربردی دیگر می‌توان به نحوه سوء‌استفاده از آسیب‌پذیری ZeroLogon به شناسه CVE-2020-1472 اشاره کرد. همچنین در کتابچه راهنمای باج‌افزار Conti، به سوءاستفاده از باگ‌های حیاتی دیگری نظیر PrintNightmare به شناسه‌های CVE-2021-1675 و CVE-2021-34527 و EternalBlue به شناسه‌های CVE-2017-0143/0148 پرداخته شده است.

بررسی محققان سیسکو نشان می‌دهد که در این کتابچه، مهاجمان به دو ابزار Armitage و  SharpView اشاره کرده‌اند که استفاده از آنها به ندرت در حملات باج‌افزاری مشاهده می‌شود.

Armitage ابزاری (Toolkit) است که بر اساس فریم‌ورک Metasploit ساخته شده است و مهاجم را قادر به انجام انواع امور مخرب ازجمله سوءاستفاده از ضعف‌های امنیتی می‌کند. همچنین SharpView از اجزای PowerView است. PowerView  خود نیز یکی از ابزارهای PowerSploit  (یک بسته نفوذ مبتنی بر PowerShell) می‌باشد.

SharpChrome و SeatBelt دو ابزار دیگری هستند که قبلاً توسط محققان سیسکو در حملات باج‌افزاری مشاهده نشده است. SharpChrome یک پیاده‌سازی خاص از SharpDPAPI برای Chrome است و در رمزگشایی لاگ‌های ورودی و کوکی‌ها در Chrome کاربرد دارد. SeatBelt نیز با زبان #C نوشته شده است و داده‌های سیستمی همچون اطلاعات سیستم‌عامل (نسخه، معماری)، تنظیمات UAC، پوشه‌های کاربر و موارد دیگر را جمع‌آوری می‌کند.

از جمله دیگر ابزارها و فرامین خط فرمان که در کتابچه مذکور شرح داده شده، می‌توان به موارد زیر اشاره کرد:

  • ADFind – ابزار پرس و جو مبتنی بر Active Directory
  • فریم‌ورک PowerShell – برای غیرفعال کردن Windows Defender
  • GMER – ابزاری دیگر برای شناسایی محصولات امنیتی و غیرفعال کردن آنها
  • SMBAutoBrute – برای اجرای حملات Brute-force بر ضد حساب‌های کاربری در دامنه فعلی
  • Kerberoasting – تکنیکی برای استفاده از حملات Brute-force برای شکستن  هش رمزهای عبور مبتنی بر Kerberos
  • Mimikatz – برای استخراج رمزهای عبور از حافظه
  • RouterScan – ابزاری برای کشف دستگاه‌های موجود در شبکه و استخراج رمزهای عبور از طریق حملات Brute-force
  • AnyDesk – ابزاری برای دسترسی از راه دور
  • Atera – یکی دیگر از نرم‌افزارهای دسترسی از راه دور

در این کتابچه راهنما، توصیه شده که مهاجمان قبل از سوءاستفاده از شبکه‌ هدف، با جستجوی اطلاعات عمومی از درآمد قربانی خود مطلع شوند.

در این اطلاعات که توسط یکی از اعضای جدا شده و منتسب به گروه باج‌افزاری Conti افشا شده، آموزش‌های ویدئویی نیز که البته بیشتر به زبان روسی است به چشم می‌خورد. در این آموزش‌ها، نحوه استفاده از PowerShell برای تست نفوذپذیری (Pen-testing)، حمله به Active Directory یا نحوه بهره‌گیری از SQL Server در دامنه‌های تحت Windows شرح داده شده است. بسیاری از این آموزش‌های ویدئویی (Metasploit ،PowerShell، حملات و دفاع مبتنی بر WMI و تست نفوذپذیری شبکه) در منابع مختلفی به صورت آنلاین در دسترس است.

محققان سیسکو بر این باورند که نسخه ترجمه شده کتابچه مذکور به سایر محققان کمک می‌کند تا تاکتیک‌ها، تکنیک‌ها و روش‌های این مهاجمان و سایر مهاجمان باج‌افزاری را که ممکن است از این اسناد الهام گرفته شده باشد، بهتر درک کنند.

 

 

به نقل از محققان سیسکو، افشای این کتابچه راهنما، فرصت مناسبی برای سازمان‌ها است تا مطمئن شوند که توانایی لازم برای تشخیص و مقابله با این نوع رفتارها یا کاهش این خطرها را دارند. این ترجمه باید به عنوان فرصتی برای راهبران امنیتی تلقی شود تا بتوانند نحوه عملکرد این گروه‌ها و ابزارهایی که در این گونه حملات از آنها استفاده می‌شود را بهتر درک کنند.

این نسخ ترجمه شده در لینک‌های زیر قابل دسترس است.

https://talosintelligence.com/resources/302

https://talosintelligence.com/resources/269

شرکت فورتی‌نت (.Fortinet, Inc) نیز خلاصه‌ای از این مطالب را در لینک زیر ارائه کرده است.

https://www.fortinet.com/blog/threat-research/affiliates-cookbook-firsthand-peek-into-operations-and-tradecraft-of-conti

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *