Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Techniki i narzędzia jednej z najskuteczniejszych grup ransomware – Conti

24 września 2021, 11:17 | W biegu | komentarzy 9

W tym artykule przedstawione zostaną najważniejsze techniki i narzędzia wykorzystywane w atakach na sieci korporacyjne przez operatorów grupy Conti. Szczegółowy opis każdego z przypadków to materiał na oddzielny artykuł, zatem w tym tekście skupiono się wyłącznie na zobrazowaniu jak działa operator jednej z najskuteczniejszych grup ransomware na świecie.

Kim jest grupa Conti?

Grupa Conti jest autorem złośliwego oprogramowania ransomwmare o tej samej nazwie i uznawana jest za jeden z najbardziej bezwzględnych gangów ransomware na świecie. Ich aktywność zaczęto obserwować pod koniec 2019 roku. Analizując dane udostępniane przez platformę DarkTracer, Conti jest aktualnie światowym liderem grup przestępczych trudniących się ransomware.

Zestawienie grup ransomware według liczby zainfekowanych organizacji

Do ich najsłynniejszych dokonań można zaliczyć atak na irlandzką służbę zdrowia, czego skutkiem było ograniczenie dostępu do opieki medycznej dla dziesiątek tysięcy pacjentów w całym kraju, a konsekwencje ataku odczuwane są do tej pory. Oczekiwane kwoty za klucze deszyfrujące sięgają nawet 25 000 000 USD.

Grupa wykorzystuje model biznesowy Ransomware as a Service (RaaS). Według badaczy, którzy mieli okazję odwiedzić forum xss.is przed zablokowaniem rejestracji, grupa rekrutuje operatorów ransomware oferując im wynagrodzenie w wysokości 1 500 USD, prowizję z okupu, płatne wakacje, pracę zdalną oraz wolne weekendy (całkiem nieźle, ale legalna i etyczna praca może oferować lepsze warunki). 

Tweet użytkownika The Cyber Post

Liderzy Conti najprawdopodobniej skupują z czarnego rynku dostępy do sieci wewnętrznych, ale nie ma co do tego pewności. Zatrudnionym operatorom ransomware grupa przekazuje dostępy, instrukcje, materiały szkoleniowe oraz narzędzia do pracy. Operator pracujący nad „projektem” może w każdej chwili skonsultować się z liderem zespołu (team leader). Powinien on również na bieżąco raportować do lidera cenne znaleziska, takie jak dane medyczne, osobowe, finansowe, które później wykorzystywane są jako dodatkowy argument, aby nakłonić ofiarę do zapłacenia okupu. 

Wyciek 

5 sierpnia 2021 roku na rosyjskojęzycznym forum dla cyberprzestępców xss.is użytkownik  m1Geelka zamieścił poniższy wpis (przetłumaczony, oryginalnie w j. rosyjskim), w którym opisuje swoje niezadowolenie ze współpracy z grupą Conti. Jego rozgoryczenie było na tyle duże, że postanowił zaszkodzić grupie i opublikować materiały, które od nich uzyskał.

4.2G 10. Attacking and Defending Active Directory+.rar
2.1G 1. Кряк 2019.rar
1.4G 2.Метасплоит US.rar
1.1G 2. Реверс и эксплойтов.rar
2.0G 3.Метасплоит RU.zip
5.0G 4.Network Pentesting.rar
1.1G 5.Cobalt Strike.rar
1.7G 6.Powershell for Pentesters+.rar
637M 7. Windows Red Team Lab+.rar
1.6G 8. WMI Attacks and Defense +.rar
606M 9. Abusing SQL Server Trusts in a Windows Domain+.rar
899M GCB.zip
5.9G GeekBrayns Реверс-инжиниринг.rar

Większość plików zawiera kursy dla pentesterów, pochodzące ze stron takich jak PentesterAcademy. Dotyczą one różnych tematów, z czego większość z nich jest o atakowaniu sieci opartych na systemach Windows i na usłudze Active Directory. Najciekawszym dokumentem jest instrukcja korzystania z narzędzia Cobalt Strike, która zawiera metodologię atakujących – od rekonesansu sieci wewnętrznej, przejmowania kolejnych hostów i kontrolera domeny, po szyfrowanie całej organizacji. Dokument został przetłumaczony z języka rosyjskiego na angielski przez badaczy z grupy Cisco Talos. W dalszej części artykułu przedstawione zostaną najważniejsze punkty, zawarte w manualu.

Kilka słów o narzędziu Cobalt Strike

Cobalt Strike (CS) jest kompleksowym frameworkiem służącym do przeprowadzania zaawansowanych ataków w testach red teamingowych. Jest doskonałym narzędziem do symulowania działań grup APT (Advanced Persistent Threat), czego najlepszym dowodem jest fakt, że oprócz specjalistów ds. bezpieczeństwa szeroko wykorzystują go również przestępcy, w tym grupa Conti. Autorem oprogramowania jest firma HelpSystems LLC, a koszt rocznej licencji za użytkownika wynosi 3 500 USD. Narzędzie zostało jednak scrackowane w 2020 roku i jego kopie można bez problemu znaleźć na forach, które zrzeszają amatorów cyberprzestępczości. Cobalt Strike działa w modelu klient-serwer. Do serwera CS łączą się komputery ofiar, na których uruchomiony został payload – tzw. beacon. Operator wykorzystuje klienta, aby połączyć się do serwera i kontrolować komputery ofiar, analizować zebrane dane itd. Przykładowy widok z konsoli Cobalt Strike:

Widok w narzędziu Cobalt Strike

Manual do narzędzia liczy ponad 100 stron. CS umożliwia przeprowadzenie wszystkich faz ataku – wstępną kompromitację, eskalację uprawnień, przemieszczanie się w sieci, wykonywanie ataków na protokół Kerberos i wiele więcej. Cobalt Strike jest głównym narzędziem operatora grupy Conti. Z jego poziomu przeprowadzane są wszystkie ataki opisane w dalszej części artykułu. 

Przegląd technik i narzędzi

Unmanaged PowerShell

Operator grupy, aby ograniczyć prawdopodobieństwo wykrycia, korzysta z prostej sztuczki zwanej Unmanaged PowerShell, która pozwala atakującemu na wykonywanie skryptów i poleceń języka PowerShell bez uruchamiania procesu powershell.exe lub PowerShell_ISE.exe. Więcej informacji na temat tej techniki można poznać oglądając prezentację Break Me11 Gray Hat PowerShell Ben Ten. Operator używa wbudowanej w Cobalt Strike funkcji psinject.

Enumeracja

Otwarte udziały sieciowe

Operator wykorzystując skrypt ShareFinder.ps1 poszukuje otwartych udziałów sieciowych. Na udziałach szuka między innymi dokumentów finansowych, księgowych, o infrastrukturze IT, o klientach czy o firmowych projektach. 

Przykład działania skryptu ShareFinder.ps1

Enumeracja administratorów i usług kopii zapasowych

Ważnym etapem ataku jest upewnienie się, że organizacja nie podniesie się zbyt łatwo z kopii zapasowych (ang. backup). Operator wykorzystuje program SoftPerfect Network Scanner do skanowania sieci wewnętrznej. Uruchamia skan z wybranego hosta w sieci, próbując zidentyfikować usługi kopii zapasowych. Po stwierdzeniu takowych zabiera się za polowanie na administratorów tych usług. Operator analizuje użytkowników w Active Directory, ich uprawnienia, opisy, grupy. W tym celu wykorzystywane są między innymi z narzędzia AdFind oraz SharpView. Ponadto przeszukuje się profil firmy LinkedIn w celu ustalenia, którzy pracownicy mogą zarządzać kopiami zapasowymi. 

Atak na administratorów następuje po przejęciu kontrolera domeny i opisany jest w dalszej części artykułu.

Router Scan

Operator wykorzystuje narzędzie Router Scan do identyfikacji routerów, kamer, NASów w sieci.m.in. do określenia producenta sprzętu oraz wersji używanego oprogramowania. Na tej podstawie program próbuje zalogować się do urządzenia jako administrator, używając domyślnych poświadczeń oraz listuje wersję oprogramowania, którą operator może porównać z bazą Common Vulnerabilities and Exposures (CVE).

Przykładowy wynik skanowania w narzędziu Router Scan

Lateral Movement

Uzyskiwanie lokalnych poświadczeń

Operator na maszynie ofiary wykorzystując narzędzie mimikatz, próbuje uzyskać dane o dostępnych lokalnie kontach. Mimikatz pozwala między innymi na zrzucenie ticketów Kerberos, haszy NTLM z bazy SAM lub z pamięci procesu LSASS (Local Security Authority Subsystem Service), lub – w niektórych sytuacjach – haseł w formie jawnej. 

Przykład użycia narzędzia mimikatz

Pass the Hash

Technika stara i popularna. W dużym skrócie atak ten pozwala na uwierzytelnienie się za pomocą hasza NTLM zamiast hasła w czystej postaci. Atakujący nie musi łamać haszy haseł, aby uzyskiwać dostęp do kolejnych hostów.

Przykład ataku Pass The Hash. Plik cmd.exe uruchomiony został z sesją użytkownika Administrator.

Kerberoasting

Atak Kerberoasting polega na próbie pobrania service ticketów (Ticket Granting Service) dla zidentyfikowanych wcześniej kont serwisowych. Ticket zaszyfrowany jest hashem NTLM, którego złamanie pozwala na odkrycie hasła w formie jawnej. Operator w tym ataku używa skryptu Invoke-Kerberoast.ps1 lub programu Rubeus.

Atak DCSync

Atak wykorzystuje słabość w protokole Directory Replication Service Remote Protocol (MS-DRSR). Replikacja danych z kontrolera domeny możliwa jest do wykonania z poziomu dowolnego hosta, nie tylko drugiego kontrolera domeny. Do przeprowadzenia ataku wymagane są uprawnienia użytkownika „Replicating Directory Changes”, które w prawidłowej konfiguracji powinni posiadać wyłącznie członkowie grup Administrators, Domain Admins, Enterprise Admins oraz Domain Controllers. Replikacja danych daje dostęp między innymi do haszy NTLM wszystkich kont w domenie. Operatorzy Conti wykorzystują w tym ataku narzędzie mimikatz.           

Przykład ataku DCSync w narzędziu mimikatz

Hasła zapisane w Group Policy Preferences

Domyślnie na kontrolerach domeny udostępniany jest udział sieciowy SYSVOL, do którego prawa odczytu ma każdy użytkownik. Udostępniane są na nim między innymi skrypty i polityki grup. Jednym ze sposobów konfigurowania haseł lokalnych administratorów w środowisku AD jest utworzenie odpowiedniej konfiguracji w Group Policy Preferences (GPP). Na udziale SYSVOL tworzony jest plik XML, który zawiera zaszyfrowane hasło administratora. Klucz szyfrujący jest stały, a Microsoft po prostu opisuje go w dokumentacji.

Operator Conti używa programu Net-GPPPassword do odczytania pliku XML z SYSVOL i odszyfrowania hasła lokalnego administratora.

Atak siłowy na poświadczenia do SMB

W ataku siłowym (ang. brute force) wykorzystywany jest skrypt Invoke-SMBAutoBrute.ps1. Operator próbuje odgadnąć hasło użytkownika logując się do usług SMB. Do ataku wykorzystywane są hasła zebrane podczas innych etapów lub tworzy się listę prostych haseł, w tym opartych na aktualnej dacie. Przykłady z manuala:

Password1
Hello123
password
Welcome1
banco@1
training
Password123
job12345
spring
food1234
June2020
July2020
August20
August2020
Summer20
Summer2020
June2020!
July2020!
August20!
August2020!
Summer20!
Summer2020!

Znane eksploity:

  • Zerologon

Błąd bezpieczeństwa w usłudze NETLOGON oznaczony jako CVE-2020-1472. Opisany już szerzej na Sekuraku. Pozwala na przejęcie kontrolera domeny w kilka sekund. 

  • PrintNightmare

Krytyczny błąd w usłudze Print Spooler (bufor wydruku) oznaczony jako CVE-2021-34527. Pozwala na zdalne wykonanie kodu i uzyskanie uprawnień SYSTEM lub eskalację uprawnień, w zależności od poziomu aktualizacji atakowanego systemu.

  • EternalBlue

Znana jako MS17-010. Podatność w usłudze SMB z 2017 roku, o której było bardzo głośno i która została wykorzystana między innymi w ataku ransomware WannaCry. 

Persistance

Tutaj bardzo krótko. Zaraz po uzyskaniu uprawnień SYSTEM na hoście, operator instaluje oprogramowanie AnyDesk lub Atera. Daje mu to możliwość swobodnego dostępu do komputera ofiary, łatwej wymiany plików czy sesji zdalnej.

Po przejęciu domeny

Dump NTDS

Po uzyskaniu odpowiednich uprawnień w domenie, atakujący tworzy kopię pliku ntds.dit. Plik ten jest bazą danych usługi Active Directory i zawiera między innymi informacje o wszystkich użytkownikach i ich hasłach w formie haszy NTLM. Operator tworzy Shadow Copy dysku C kontrolera domeny, a następnie kopiuje plik ntds.dit do katalogu %TEMP%, po czym szyfruje go programem 7za.exe. Zaszyfrowany plik pobiera na kontrolowany przez siebie serwer zewnętrzny.

Kradzież danych

Operator rejestruje konto w serwisie mega.io, a jego lider zespołu opłaca kryptowalutami odpowiednią subskrypcję. Operator używa programu rclone do bezpośredniego uploadu danych do serwisu mega.io. Wrzucane są całe udziały sieciowe lub dyski, które wydają się interesujące.

Atakowanie administratorów

Na tym etapie używana jest technika Token Impersonation dostępna w Cobalt Strike. Technika ta działa analogicznie do polecenia runas.exe /NETONLY. Atakujący loguje się do udziału sieciowego wybranego administratora. Po uzyskaniu dostępu do dysku lokalnego operator szuka danych logowania do usług kopii zapasowych. W tym celu przeszukuje między innymi:

  • Typowe katalogi jak Desktop, Downloads, Documents.
  • Pliki konfiguracyjne aplikacji w %APPDATA%, %PROGRAMDATA%.
  • Historię przeglądarki.
  • Zapisane dane logowania w przeglądarce.
  • Bazy danych menadżerów haseł. 
  • Zapisane dane logowania do aplikacji takich jak FileZilla.
  • Wiadomości poczty e-mail.

Zablokowanie AV

Operator powinien zablokować wszelkie oprogramowanie antywirusowe (AV), które może przeszkodzić w szyfrowaniu danych organizacji. W manualu dostępne są przykładowe instrukcje na zablokowanie Windows Defendera oraz Sofosa. Z pewnością operator nie ogranicza się jednak tylko do tych rozwiązań. Defender blokowany jest przez gpedit, PowerShell (Set-MpPreference) lub przez zmianę rejestru. Operator może również użyć oprogramowania GMER do zabicia procesów antywirusa. GMER standardowo używany jest do pozbywania się rootkitów i jego twórcą jest Polak, Przemysław Gmerek.

Szyfrowanie

Ostatnim etapem jest szyfrowanie wszystkich zasobów organizacji. Operator tworzy listę komputerów w sieci, otwarty udział sieciowy na kontrolerze domeny i udostępnia na nim złośliwy plik EXE. Za pomocą WMI (Windows Management Instrumentation) lub narzędzia PsExec kopiuje plik binarny na każdy komputer w sieci, a następnie go uruchamia. Przykładowe polecenia użyte w procesie:

Kopiowanie pliku fx166.exe

PsExec.exe /accepteula @C:\share$\comps1.txt -u DOMAIN\ADMINISTRATOR -p PASSWORD cmd /c COPY „\\PRIMARY DOMAIN CONTROLLER\share$\fx166.exe” „C:\windows\temp\”

Uruchamianie pliku EXE na komputerze:

PsExec.exe -d @C:\share$\comps1.txt -u DOMAIN\ADMINISTRATOR -p PASSWORD cmd /c c:\windows\temp\fx166.exe 

Podsumowanie

Jak łatwo zauważyć, operator grupy Conti nie korzysta z nowatorskich technik ataku, 0-day’ów czy własnoręcznie napisanych narzędzi. Nie przejmuje się również zbytnio ryzykiem wykrycia czy pozostawionymi śladami. Grupie nie przeszkadza to jednak w byciu liderem grup przestępczych i zainfekowaniu 457 organizacji w ciągu niecałych dwóch lat. Dla skutecznej ochrony sieci niezbędna jest dobra znajomość wymienionych w artykule technik ataku. W celu poznania technik obrony zachęcam do własnego researchu lub do udziału w szkoleniach oferowanych przez Securitum.

Gracjan Jaśkiewicz, pomaga zabezpieczać systemy IT w ramach Securitum.

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Klub Pana Rysia

    Ale te $1500 to za dzien/tydzien/miesiac? Bo jak za miesiac to zwykly pan od instalowania windowsa i sterownikow do drukarek w UK zarabia wiecej.

    Odpowiedz
    • nn

      I dlatego instrukcje obsługi są pisane cyrylicą a nie po UKejsku.

      Odpowiedz
    • Pan od instalowania Windowsa

      Na screenie zamieszczonym w artykule widać „1500$ + % z okupu zapłaconego przez daną firmę”. A więc pentester po „ciemnej stronie mocy”, współpracując z ransomware Conti ma zagwarantowane 1500$ per udany atak + % z okupu. Patrząc po liczbach, jakie grupy ransomware wykręcają (100,200k$ a nawet kilka milionów $ od danej firmy), to nawet 10, 5 czy 20% to całkiem niezła „dniówka”. Dodajmy do tego fakt, że tego typu „pracownicy” mogą sobie na boku dorabiać dla innych grup, lub prowadząc własne kampanie cyberprzestępcze, to wydaje mi się, że daleko im do „pana od instalowania windowsa”.

      Odpowiedz
    • John Sharkrat

      I ten zwykły pan od instalowania windowsa i sterowników do drukarek w UK zarabia więcej, a mieszka w Rosji, na Ukrainie lub w Chinach?

      Odpowiedz
    • Sebo

      No ale jeszcze + procent z ataku. Możesz sobie potraktować tą kwotę 1500 jako zachęte a prawdziwy zarobek, jak się uda.

      Odpowiedz
  2. Karol

    W jakiś sposób Operator szuka/znajduje hasła admina w bazie managera haseł? Skanuje schowek i liczy na to że w końcu trafi czy jakoś próbuje odszyfrować tę bazę?

    Odpowiedz
    • grac

      Domyślam się ze pierwsza czynnością będzie próba złamania hasła do bazy lokalnie. Szerszych instrukcji na ten temat w manualu nie ma.

      Odpowiedz
  3. olek
    Odpowiedz
  4. Nism0

    Fajnie, że Talos przetłumaczyli tekst z rosyjskiego, ale jak sie to czyta to oczy bolą, bo chyba jednak translatorem to było robione. Kali jeśc, kali pić.

    Odpowiedz

Odpowiedz