تقریباً یک ماه پس از افشای کتابچه راهنمای گروه باجافزاری Conti توسط یکی از اعضای جداشده و ناراضی این گروه، محققان امنیتی سیسکو (.Cisco Systems, Inc) نسخه ترجمه شدهای از آن را به اشتراک گذاشتهاند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده، محتویات این کتابچه مورد بررسی قرار گرفته است.
در کتابچه مذکور، ضمن پرداختن به روشهای حمله، دستورالعملهای دقیق و مبسوطی ارائه شده که حتی به مهاجمان کم مهارت اجازه میداده تا به عنوان مشترک Conti RaaS اهداف ارزشمندی را مورد حمله قرار دهند.
محققان امنیتی سیسکو با همکاری تعدادی زبانشناس اقدام به بررسی مطالب نشت شده و ارائه نسخه انگلیسی قابل فهمی نمودهاند که تکنیکها و ابزارهای مهاجمان را به طور دقیق توصیف میکند.
به نقل از محققان امنیتی، سناریوهای حمله توصیف شده در این اسناد آنقدر کامل است که حتی مهاجمان آماتور نیز میتوانند با بهرهگیری از آنها حملات مخرب و باجافزاری را اجرا کنند.
ضمناً در این کتابچه، فرامین و ابزارهایی برای استخراج فهرست کاربران پس از نفوذ در شبکه قربانی و دستیابی به رمز عبور کاربران با سطح دسترسی بالا، به ویژه افرادی که دارای حق دسترسی به Active Directory هستند، ارائه شده است. جهت کشف کارکنان با سطح دسترسی بالا روشهایی همچون شناسایی افراد از طریق بررسی LinkedIn و سایر رسانههای اجتماعی نیز با جزئیات ذکر شده است.
یکی از اصلیترین ابزارهایی که در این کتابچه شرح داده شده، نسخه کرک 4.3 نرمافزار Cobalt Strike است.
از دستورالعملهای کاربردی دیگر میتوان به نحوه سوءاستفاده از آسیبپذیری ZeroLogon به شناسه CVE-2020-1472 اشاره کرد. همچنین در کتابچه راهنمای باجافزار Conti، به سوءاستفاده از باگهای حیاتی دیگری نظیر PrintNightmare به شناسههای CVE-2021-1675 و CVE-2021-34527 و EternalBlue به شناسههای CVE-2017-0143/0148 پرداخته شده است.
بررسی محققان سیسکو نشان میدهد که در این کتابچه، مهاجمان به دو ابزار Armitage و SharpView اشاره کردهاند که استفاده از آنها به ندرت در حملات باجافزاری مشاهده میشود.
Armitage ابزاری (Toolkit) است که بر اساس فریمورک Metasploit ساخته شده است و مهاجم را قادر به انجام انواع امور مخرب ازجمله سوءاستفاده از ضعفهای امنیتی میکند. همچنین SharpView از اجزای PowerView است. PowerView خود نیز یکی از ابزارهای PowerSploit (یک بسته نفوذ مبتنی بر PowerShell) میباشد.
SharpChrome و SeatBelt دو ابزار دیگری هستند که قبلاً توسط محققان سیسکو در حملات باجافزاری مشاهده نشده است. SharpChrome یک پیادهسازی خاص از SharpDPAPI برای Chrome است و در رمزگشایی لاگهای ورودی و کوکیها در Chrome کاربرد دارد. SeatBelt نیز با زبان #C نوشته شده است و دادههای سیستمی همچون اطلاعات سیستمعامل (نسخه، معماری)، تنظیمات UAC، پوشههای کاربر و موارد دیگر را جمعآوری میکند.
از جمله دیگر ابزارها و فرامین خط فرمان که در کتابچه مذکور شرح داده شده، میتوان به موارد زیر اشاره کرد:
- ADFind – ابزار پرس و جو مبتنی بر Active Directory
- فریمورک PowerShell – برای غیرفعال کردن Windows Defender
- GMER – ابزاری دیگر برای شناسایی محصولات امنیتی و غیرفعال کردن آنها
- SMBAutoBrute – برای اجرای حملات Brute-force بر ضد حسابهای کاربری در دامنه فعلی
- Kerberoasting – تکنیکی برای استفاده از حملات Brute-force برای شکستن هش رمزهای عبور مبتنی بر Kerberos
- Mimikatz – برای استخراج رمزهای عبور از حافظه
- RouterScan – ابزاری برای کشف دستگاههای موجود در شبکه و استخراج رمزهای عبور از طریق حملات Brute-force
- AnyDesk – ابزاری برای دسترسی از راه دور
- Atera – یکی دیگر از نرمافزارهای دسترسی از راه دور
در این کتابچه راهنما، توصیه شده که مهاجمان قبل از سوءاستفاده از شبکه هدف، با جستجوی اطلاعات عمومی از درآمد قربانی خود مطلع شوند.
در این اطلاعات که توسط یکی از اعضای جدا شده و منتسب به گروه باجافزاری Conti افشا شده، آموزشهای ویدئویی نیز که البته بیشتر به زبان روسی است به چشم میخورد. در این آموزشها، نحوه استفاده از PowerShell برای تست نفوذپذیری (Pen-testing)، حمله به Active Directory یا نحوه بهرهگیری از SQL Server در دامنههای تحت Windows شرح داده شده است. بسیاری از این آموزشهای ویدئویی (Metasploit ،PowerShell، حملات و دفاع مبتنی بر WMI و تست نفوذپذیری شبکه) در منابع مختلفی به صورت آنلاین در دسترس است.
محققان سیسکو بر این باورند که نسخه ترجمه شده کتابچه مذکور به سایر محققان کمک میکند تا تاکتیکها، تکنیکها و روشهای این مهاجمان و سایر مهاجمان باجافزاری را که ممکن است از این اسناد الهام گرفته شده باشد، بهتر درک کنند.
به نقل از محققان سیسکو، افشای این کتابچه راهنما، فرصت مناسبی برای سازمانها است تا مطمئن شوند که توانایی لازم برای تشخیص و مقابله با این نوع رفتارها یا کاهش این خطرها را دارند. این ترجمه باید به عنوان فرصتی برای راهبران امنیتی تلقی شود تا بتوانند نحوه عملکرد این گروهها و ابزارهایی که در این گونه حملات از آنها استفاده میشود را بهتر درک کنند.
این نسخ ترجمه شده در لینکهای زیر قابل دسترس است.
https://talosintelligence.com/resources/302
https://talosintelligence.com/resources/269
شرکت فورتینت (.Fortinet, Inc) نیز خلاصهای از این مطالب را در لینک زیر ارائه کرده است.