Conti勒索軟件計劃的一名心懷不滿的成員昨天泄露了Conti團伙用于培訓手冊和技術指南，這些指南培訓附屬成員如何在被黑公司內(nèi)部訪問、橫向移動和升級訪問權(quán)限的然后在加密文件之前泄露其數(shù)據(jù)。

　　昨天早些時候在一個地下網(wǎng)絡犯罪論壇上泄露了這些文件，該文件由一個個人共享，該個人似乎對Conti團伙支付給他們以破壞公司網(wǎng)絡的回報太少產(chǎn)生內(nèi)部分歧。

　　該個人還分享了Conti團伙托管Cobalt Strike命令和控制服務器的IP地址（可以去加黑了），Conti附屬成員使用這些服務器訪問被黑的公司網(wǎng)絡。

　　此外，該個人還發(fā)布了一個名為“ Мануали для работяг и софт。rar ”的RAR壓縮文件，大致翻譯為“勞動者手冊和軟件手冊。rar ” 。該檔案包含37個文本文件，其中包含有關如何在網(wǎng)絡入侵期間使用各種黑客工具甚至合法軟件的說明。

　　泄露的手冊包含有關如何執(zhí)行以下操作的指南：

　　使用MEGA帳戶配置Rclone軟件以進行數(shù)據(jù)泄露

　　將AnyDesk軟件配置為受害者網(wǎng)絡中的持久性和遠程訪問解決方案 [一種已知的 Conti 策略]

　　配置和使用Cobalt Strike代理

　　使用NetScan工具掃描內(nèi)部網(wǎng)絡

　　在虛擬專用服務器 （VPS） 上安裝Metasploit滲透測試框架

　　使用Ngrok安全隧道通過RDP連接到被黑的網(wǎng)絡

　　在公司的被黑網(wǎng)絡中提升并獲得管理員權(quán)限

　　接管域控制器

　　從Active Directory轉(zhuǎn)儲密碼（NTDS 轉(zhuǎn)儲）

　　執(zhí)行SMB暴力攻擊

　　強力路由器、NAS設備和安全攝像頭

　　使用ZeroLogon漏洞

　　執(zhí)行Kerberoasting攻擊

　　禁用Windows Defender保護

　　刪除卷影副本

　　附屬公司如何配置自己的操作系統(tǒng)以使用Tor匿名網(wǎng)絡等

　　勒索軟件即服務 （RaaS） 操作造成的泄漏極為罕見；然而，今天共享的數(shù)據(jù)并不是安全研究人員所說的開創(chuàng)性的。泄露的文件包含Conti和其他勒索軟件團伙多年來在以前的入侵中使用的基本攻擊策略和技術指南。

　　現(xiàn)在我們確切地知道Conti附屬公司可能執(zhí)行的操作，泄漏將可以幫助安全公司整合更強大的防御手冊，以提高他們檢測Conti入侵的能力！