俄烏沖突引發(fā)民間網(wǎng)絡(luò)安全能力者的分裂，Conti勒索軟件選擇站隊(duì)俄羅斯，引發(fā)一名烏克蘭安全研究人員的憤怒，開(kāi)始瘋狂地公開(kāi)泄露Conti內(nèi)部數(shù)據(jù)；

　　據(jù)分析，泄露數(shù)據(jù)包括Conti勒索軟件代碼、TrickBot木馬代碼、Conti培訓(xùn)材料、Conti/TrickBot內(nèi)部交流的各種攻擊技巧等，已然是一個(gè)小型網(wǎng)絡(luò)武器庫(kù)；

　　這些泄露數(shù)據(jù)可謂雙刃劍，安全研究人員可以了解Conti的策略、代碼開(kāi)發(fā)、貨幣化方式、潛在成員身份等信息，采取更可靠的防御手段；惡意軟件開(kāi)發(fā)者也可以利用這批數(shù)據(jù)，指導(dǎo)開(kāi)發(fā)更多類似TrickBot的惡意軟件。

　　安全內(nèi)參此前有分析，俄烏沖突引發(fā)了民間網(wǎng)絡(luò)安全能力者的分裂，從烏克蘭地下黑客、俄羅斯民間“網(wǎng)絡(luò)衛(wèi)士”到勒索軟件組織、國(guó)際黑客組織，多方勢(shì)力紛紛表態(tài)和行動(dòng)，為此次沖突增加了更多復(fù)雜性。

　　其中，Conti勒索軟件選擇站在俄羅斯一方，這引發(fā)了一名烏克蘭安全研究人員的憤怒。

　　據(jù)安全內(nèi)參追蹤了解，上周日（2月27日），這名研究員首次公開(kāi)泄露Conti團(tuán)伙內(nèi)部超6萬(wàn)條聊天消息（2021.1-2022.2），周一（3月1日）又公開(kāi)泄露了Conti團(tuán)伙的超10萬(wàn)條聊天消息（2020.6該團(tuán)伙首次公開(kāi)出手-2020.11）、泄露賬號(hào)密碼數(shù)據(jù)庫(kù)、Conti源代碼等。

　　安全廠商CyberArk對(duì)這批泄露數(shù)據(jù)（代號(hào)：ContiLeaks）進(jìn)行了分析，讓我們一起看看里邊都有什么吧。

　　第二次泄露都有些什么？

　　ContiLeaks公開(kāi)的這批文件可謂新鮮出爐，不少文件甚至來(lái)自3月1日。

　　ContiLeaks截至3月1日的數(shù)據(jù)轉(zhuǎn)儲(chǔ)內(nèi)容。

　　下面，我們就對(duì)泄露數(shù)據(jù)逐個(gè)分析，看看它們?cè)谘芯咳藛T手中能發(fā)揮哪些作用。

　　聊天記錄

　　此次泄露的聊天內(nèi)容主要是Conti團(tuán)伙內(nèi)部的交流信息，時(shí)間跨度為2020年6月-11月。分析發(fā)現(xiàn)，其中一位用戶“經(jīng)常向其他全體用戶發(fā)送垃圾郵件”。

　　研究人員可以從聊天記錄收集Conti團(tuán)伙使用的用戶名，“一起揪出Conti團(tuán)伙的所有成員?！?/p>

　　管理面板源代碼

　　快速瀏覽泄露內(nèi)容后，研究人員們推測(cè)Conti團(tuán)伙使用的大部分代碼來(lái)自開(kāi)源軟件。比如yii2、Kohana兩個(gè)PHP框架，“（似乎）被用于構(gòu)建管理面板” 。

　　“其中大部分代碼使用PHP編寫，由Composer負(fù)責(zé)管理，唯一例外的是一個(gè)用Go編寫的工具。”這些代碼庫(kù)還包含相應(yīng)的配置文件，其中列出了本地?cái)?shù)據(jù)庫(kù)的用戶名和密碼，以及一些公共IP地址。

　　Pony惡意軟件竊取的憑證

　　Conti Pony Leak 2016.7z文件主要是泄露電子郵件賬號(hào)密碼庫(kù)，來(lái)自gmail.com、mail.ru、yahoo.com等郵件服務(wù)商。很明顯，這是由Pony憑證竊取惡意軟件從各種來(lái)源盜竊來(lái)的。Pony的歷史至少可以追溯到2018年，是詐騙分子們最喜愛(ài)的憑證盜竊軟件之一。

　　壓縮包內(nèi)還包含來(lái)自FTP/RDP與SSH服務(wù)、以及其他多個(gè)不同網(wǎng)站的憑證。

　　TTP

　　Conti Rocket Chat Leaks.7z中包含Conti團(tuán)伙成員關(guān)于攻擊目標(biāo)、攻擊手段的聊天記錄。他們會(huì)討論攻擊目標(biāo)，并運(yùn)用Cobalt Strike實(shí)施攻擊。

　　Conti團(tuán)伙成員們?cè)诮徽勚刑岬竭^(guò)以下攻擊技術(shù)：

　　Active Directory枚舉

　　通過(guò)sqlcmd進(jìn)行SQL數(shù)據(jù)庫(kù)枚舉

　　如何訪問(wèn)Shadow Protect SPX（StorageCraft）備份

　　如何創(chuàng)建NTDS轉(zhuǎn)儲(chǔ)與vssadmin

　　如何打開(kāi)新RDP端口1350

　　涉及以下工具：

　　Cobalt Strike

　　Metasploit

　　PowerView

　　ShareFinder

　　AnyDesk

　　Mimikatz

　　Conti Locker v2源代碼

　　與可能無(wú)效的解密器

　　此次泄漏文件還包含Conti Locker v2源代碼。這部分代碼在一個(gè)受密碼保護(hù)的zip文件中，解開(kāi)之后再無(wú)其他保護(hù)措施。

　　除了Conti勒索軟件的v2源代碼外，還有一個(gè)解密器源代碼。但有推特網(wǎng)友稱，這款解密器已經(jīng)沒(méi)法使用。

　　Marcus證實(shí)，“我聽(tīng)說(shuō)解密器不是最新版本，也沒(méi)法正常使用?！?/p>

　　他猜測(cè)，泄露的解密器可能是Conti提供給已支付贖金受害者的版本。

　　解密器的工作原理有點(diǎn)像對(duì)受密碼保護(hù)的文件進(jìn)行解壓，只是整個(gè)過(guò)程更復(fù)雜、具體設(shè)計(jì)因不同勒索軟件家族而異。

　　Marcus還提到，“有些解密器內(nèi)置在獨(dú)立二進(jìn)制文件中，有些則可以遠(yuǎn)程啟用。它們通常會(huì)內(nèi)置密鑰?！?/p>

　　Conti團(tuán)伙培訓(xùn)材料

　　此次泄露文件還有培訓(xùn)材料，有俄語(yǔ)在線課程視頻、也有以下TTP清單的具體操作方法：

　　破解/Cracking

　　Metasploit

　　網(wǎng)絡(luò)滲透

　　Cobalt Strike

　　使用PowerShell進(jìn)行滲透

　　Windows紅隊(duì)攻擊

　　WMI攻擊（與防御）

　　SQL Server

　　Active Directory

　　逆向工程

　　Conti團(tuán)伙的俄語(yǔ)培訓(xùn)材料。

　　TrickBot泄露

　　另一個(gè)泄露文件是TrickBot木馬/惡意軟件論壇的聊天內(nèi)容，內(nèi)容涵蓋2019-2021年的大量消息。

　　里邊大多數(shù)內(nèi)容是在討論如何實(shí)現(xiàn)網(wǎng)絡(luò)橫向移動(dòng)、如何使用某些工具，以及一些關(guān)于TrickBot和Conti團(tuán)伙的TTP信息。

　　例如，在一封帖子中，某位成員分享了他的webshell，并表示“這是我用過(guò)的最輕量級(jí)、最耐用的webshell”。

　　其中還包含2021年7月上旬Conti團(tuán)伙利用Zerologon等漏洞的證據(jù)。這并不奇怪，畢竟從2020年9月開(kāi)始，GitHub上先后出現(xiàn)過(guò)4個(gè)針對(duì)此漏洞的PoC，以及大量漏洞技術(shù)細(xì)節(jié)。

　　其他泄露內(nèi)容還包括用Erlang編寫的服務(wù)器端組件：trickbot-command-dispatcher-backend、trickbot-data-collector-backend，被稱為lero與dero。

　　感想上帝提供的易讀性代碼！有推特網(wǎng)友感嘆，“終于有值得翻閱的內(nèi)容了（Conti Trickbot Leaks.7z）——這些Erlang代碼整潔、可復(fù)用，比幾個(gè)開(kāi)源Erlang服務(wù)器示例要更好?！?/p>

　　TrickBot代碼泄露可能導(dǎo)致…

　　更好的TrickBot出現(xiàn)

　　數(shù)據(jù)泄露會(huì)減緩TrickBot攻擊者的惡意活動(dòng)嗎？真的未必，因?yàn)楣粽咚坪跻呀?jīng)對(duì)Zanax發(fā)動(dòng)過(guò)幾波打擊。

　　上周（2月24日），安全廠商Intel 471的研究人員發(fā)布一份報(bào)告，講述TrickBot惡意軟件團(tuán)伙如何在一段漫長(zhǎng)的停頓期后卷土重來(lái)。如果不是最近再次觀察到行動(dòng)，研究人員還以為他們突然消失了。自2021年12月28日到2022年2月17日，研究人員沒(méi)有觀察到TrickBot團(tuán)伙的任何惡意活動(dòng)。

　　研究人員當(dāng)時(shí)認(rèn)為，這次停頓可能是由于TrickBot團(tuán)伙開(kāi)始將業(yè)務(wù)重點(diǎn)轉(zhuǎn)向合作開(kāi)發(fā)惡意軟件，例如Emotet。

　　ContiLeaks數(shù)據(jù)泄露事件很可能扭轉(zhuǎn)局勢(shì)，但不一定會(huì)變得更好。威脅情報(bào)廠商LookingGlass威脅情報(bào)高級(jí)主管David Marcus表示，隨著安全研究人員對(duì)數(shù)據(jù)的持續(xù)剖析，此次泄露將產(chǎn)生“重大長(zhǎng)期影響”，“我們將了解對(duì)方的策略、代碼開(kāi)發(fā)、貨幣化方式、潛在成員身份等信息?！?/p>

　　但代碼泄露本身也是一把雙刃劍，他認(rèn)為“從防御的角度看，這會(huì)幫助研究人員更好地了解TrickBot工作原理，進(jìn)而采取更可靠的防御手段。但另一方面，這些源代碼也將流入其他惡意軟件開(kāi)發(fā)者手中，指導(dǎo)他們開(kāi)發(fā)出更多類似TrickBot的惡意軟件。”

　　Conti團(tuán)伙并不在乎

　　出了這么大的亂子，Conti團(tuán)伙現(xiàn)在應(yīng)該很緊張吧？但事實(shí)并非如此。

　　威脅情報(bào)公司Advanced Intelligence（AdvInt）研究主管Yelisey Boguslavskiy表示，他們的主要情報(bào)來(lái)源都沒(méi)有顯示出這會(huì)影響Conti。

　　他解釋道，“這次泄露只涉及Conti內(nèi)部6支小組中的1支。雖然這個(gè)組似乎地位最高，但其他小組確實(shí)絲毫未受影響。Conti只是簡(jiǎn)單重啟了所有基礎(chǔ)設(shè)施，然后繼續(xù)照常運(yùn)行?！?/p>