Conti勒索軟件計(jì)劃的一名心懷不滿的成員昨天泄露了Conti團(tuán)伙用于培訓(xùn)手冊(cè)和技術(shù)指南，這些指南培訓(xùn)附屬成員如何在被黑公司內(nèi)部訪問(wèn)、橫向移動(dòng)和升級(jí)訪問(wèn)權(quán)限的然后在加密文件之前泄露其數(shù)據(jù)。

　　昨天早些時(shí)候在一個(gè)地下網(wǎng)絡(luò)犯罪論壇上泄露了這些文件，該文件由一個(gè)個(gè)人共享，該個(gè)人似乎對(duì)Conti團(tuán)伙支付給他們以破壞公司網(wǎng)絡(luò)的回報(bào)太少產(chǎn)生內(nèi)部分歧。

　　該個(gè)人還分享了Conti團(tuán)伙托管Cobalt Strike命令和控制服務(wù)器的IP地址（可以去加黑了），Conti附屬成員使用這些服務(wù)器訪問(wèn)被黑的公司網(wǎng)絡(luò)。

　　此外，該個(gè)人還發(fā)布了一個(gè)名為“ Мануали для работяг и софт。rar ”的RAR壓縮文件，大致翻譯為“勞動(dòng)者手冊(cè)和軟件手冊(cè)。rar ” 。該檔案包含37個(gè)文本文件，其中包含有關(guān)如何在網(wǎng)絡(luò)入侵期間使用各種黑客工具甚至合法軟件的說(shuō)明。

　　泄露的手冊(cè)包含有關(guān)如何執(zhí)行以下操作的指南：

　　使用MEGA帳戶配置Rclone軟件以進(jìn)行數(shù)據(jù)泄露

　　將AnyDesk軟件配置為受害者網(wǎng)絡(luò)中的持久性和遠(yuǎn)程訪問(wèn)解決方案 [一種已知的 Conti 策略]

　　配置和使用Cobalt Strike代理

　　使用NetScan工具掃描內(nèi)部網(wǎng)絡(luò)

　　在虛擬專用服務(wù)器 （VPS） 上安裝Metasploit滲透測(cè)試框架

　　使用Ngrok安全隧道通過(guò)RDP連接到被黑的網(wǎng)絡(luò)

　　在公司的被黑網(wǎng)絡(luò)中提升并獲得管理員權(quán)限

　　接管域控制器

　　從Active Directory轉(zhuǎn)儲(chǔ)密碼（NTDS 轉(zhuǎn)儲(chǔ)）

　　執(zhí)行SMB暴力攻擊

　　強(qiáng)力路由器、NAS設(shè)備和安全攝像頭

　　使用ZeroLogon漏洞

　　執(zhí)行Kerberoasting攻擊

　　禁用Windows Defender保護(hù)

　　刪除卷影副本

　　附屬公司如何配置自己的操作系統(tǒng)以使用Tor匿名網(wǎng)絡(luò)等

　　勒索軟件即服務(wù) （RaaS） 操作造成的泄漏極為罕見(jiàn)；然而，今天共享的數(shù)據(jù)并不是安全研究人員所說(shuō)的開(kāi)創(chuàng)性的。泄露的文件包含Conti和其他勒索軟件團(tuán)伙多年來(lái)在以前的入侵中使用的基本攻擊策略和技術(shù)指南。

　　現(xiàn)在我們確切地知道Conti附屬公司可能執(zhí)行的操作，泄漏將可以幫助安全公司整合更強(qiáng)大的防御手冊(cè)，以提高他們檢測(cè)Conti入侵的能力！