ContiLeaks:聊天显示30多个漏洞被孔蒂Ransomware——站得住脚的如何帮助
![](http://www.yyueer.com/sites/default/files/images/articles/contileaks-reveal-over-30-vulnerabilities-affiliates-ransomware-group.jpg)
孔蒂成员之间的私人信息揭示无价的信息如何臭名昭著的ransomware集团劫持受害者的系统。
泄露内部之间的聊天孔蒂ransomware小组成员提供一个独特的一瞥其内部运作和提供有价值的见解,包括30多所使用的漏洞细节集团及其附属公司,以及对其流程细节渗透到网络后,喜欢它的目标活动目录。
在这篇文章中,我们将提供背景为孔蒂——今天在操作更多产的ransomware集团之一——深入泄露信息,并提供具体的建议如何保护您的组织对孔蒂的攻击。
背景
ContiLeaks开始于2月27日——所谓的工作成员孔蒂ransomware组。这个人泄露的一系列内部成员之间的聊天一般公众。这不是第一次机密信息被泄露。2021年8月,孔蒂的附属出版了一本剧本的培训材料给子公司提供我们的第一个洞察ransomware集团的操作。
这些泄漏允许研究人员分析更多的战术,技术和程序开发指标的妥协与集团有关。研究人员违反追求3月9日发表了一篇文章分析ContiLeaks,其中包括一个漏洞列表集团似乎已经使用的目标组织。
孔蒂是什么?
首次发现于2020年研究炭黑,孔蒂ransomware集团,并部署康迪ransomware ransomware-as-a-service模型。
Ransomware-as-a-Service(老城)ransomware组织和提供给子公司——网络犯罪与老城团体寻求合作伙伴访问ransomware随时可以部署,以及剧本来指导他们的攻击。老城组小削减支付赎金,为子公司提供的大部分利润。
孔蒂已经上升到突出在过去的两年里,赚取1.8亿美元的利润从它的攻击,根据Chainalysis。这也是臭名昭著的攻击医疗保健行业,包括至少16美国卫生和急救网络。最值得注意的是孔蒂的攻击在爱尔兰卫生服务执行(HSE) 2021年5月组织要求2000万美元的赎金,HSE拒绝支付。
孔蒂对医疗保健行业的关注并不奇怪。在我们的2021威胁景观回顾报告中,我们发现,24.7%的医疗数据泄露是ransomware攻击的结果,和ransomware本身负责去年38%的违反公开披露。
哪些漏洞孔蒂和其附属公司使用?
孔蒂Ransomware组织使用各种战术违反网络的潜在目标。这些包括钓鱼、恶意软件和蛮力攻击远程桌面协议。
孔蒂也被与异国情调的莉莉,一个初始访问代理(IAB)组。iab的重点是获得恶意访问组织为目的的销售访问ransomware集团和子公司。然而,利用前后验证漏洞在ransomware攻击也扮演着重要的角色。
泄露的一部分下属剧本,我们看到报道,孔蒂和其附属公司已经使用PrintNightmare和Zerologon漏洞攻击的目标。然而,ContiLeaks显示额外的29组所使用的漏洞。
此外,有报告孔蒂和其附属公司有针对性的漏洞中发现FortiOS Fortinet的SSL VPN设备获得最初的目标环境。
下面是一个分解使用的类型的漏洞孔蒂和其附属公司:
首次访问漏洞
CVE | 描述 | CVSS分数 | 冲程体积 |
---|---|---|---|
cve - 2018 - 13379 | Fortinet FortiOS路径遍历/任意文件读脆弱性 | 9.8 | 9.8 |
cve - 2018 - 13374 | Fortinet FortiOS不当访问控制弱点 | 8.8 | 8.4 |
cve - 2020 - 0796 | Windows SMBv3客户机/服务器远程代码执行漏洞(“SMBGhost”) | 10 | 10.0 |
cve - 2020 - 0609 | Windows远程桌面网关(RD网关)远程代码执行漏洞 | 9.8 | 8.4 |
cve - 2020 - 0688 | Microsoft Exchange验证关键远程代码执行漏洞 | 8.8 | 9.9 |
cve - 2021 - 21972 | VMware vSphere客户机远程代码执行漏洞 | 9.8 | 9.5 |
cve - 2021 - 21985 | VMware vSphere客户机远程代码执行漏洞 | 9.8 | 9.4 |
cve - 2021 - 22005 | VMware vCenter服务器远程代码执行漏洞 | 9.8 | 9.6 |
cve - 2021 - 26855 | 微软Exchange服务器远程代码执行漏洞(“ProxyLogon”) | 9.8 | 9.9 |
*请注意:站得住脚的脆弱性优先级评级(冲程体积)的分数计算。这篇文章发表在3月24日,反映了当时冲程体积。
海拔的特权漏洞
CVE | 描述 | CVSS分数 | 冲程体积 |
---|---|---|---|
cve - 2015 - 2546 | Win32k内存损坏海拔特权的脆弱性 | 6.9 | 9.6 |
cve - 2016 - 3309 | Windows Win32k海拔特权的脆弱性 | 7.8 | 9.7 |
cve - 2017 - 0101 | Windows的特权的脆弱性 | 7.8 | 9.7 |
cve - 2018 - 8120 | Windows Win32k海拔特权的脆弱性 | 7 | 9.8 |
cve - 2019 - 0543 | Microsoft Windows的特权的脆弱性 | 7.8 | 9.0 |
cve - 2019 - 0841 | Windows的特权的脆弱性 | 7.8 | 9.8 |
cve - 2019 - 1064 | Windows的特权的脆弱性 | 7.8 | 9.2 |
cve - 2019 - 1069 | Windows任务调度器的特权的脆弱性 | 7.8 | 9.0 |
cve - 2019 - 1129 | Windows的特权的脆弱性 | 7.8 | 8.9 |
cve - 2019 - 1130 | Windows的特权的脆弱性 | 7.8 | 6.7 |
cve - 2019 - 1215 | Windows的特权的脆弱性 | 7.8 | 9.5 |
cve - 2019 - 1253 | Windows的特权的脆弱性 | 7.8 | 9.7 |
cve - 2019 - 1315 | Windows错误报告经理海拔特权的脆弱性 | 7.8 | 9.0 |
cve - 2019 - 1322 | Microsoft Windows的特权的脆弱性 | 7.8 | 9.0 |
cve - 2019 - 1385 | Windows大概部署扩展海拔特权的脆弱性 | 7.8 | 5.9 |
cve - 2019 - 1388 | Windows证书对话框的特权的脆弱性 | 7.8 | 8.4 |
cve - 2019 - 1405 | “Windows海拔特权的脆弱性 | 7.8 | 9.7 |
cve - 2019 - 1458 | Win32k海拔特权的脆弱性 | 7.8 | 9.7 |
cve - 2020 - 0638 | 更新通知经理海拔特权的脆弱性 | 7.8 | 5.9 |
cve - 2020 - 0787 | Windows后台智能传输服务的特权的脆弱性 | 7.8 | 9.7 |
cve - 2020 - 1472 | Windows Netlogon海拔特权脆弱性(“Zerologon”) | 10 | 10.0 |
cve - 2021 - 1675 | Windows假脱机打印程序远程代码执行漏洞 | 8.8 | 9.8 |
cve - 2021 - 1732 | Windows Win32k海拔特权的脆弱性 | 7.8 | 9.8 |
cve - 2021 - 34527 | Windows假脱机打印程序远程代码执行漏洞(“PrintNightmare”) | 8.8 | 9.8 |
我们也意识到,孔蒂及其子公司使用cve - 2021 - 44228,也称为Log4Shell,因为攻击在2021年末开始的一部分。
利用高程的特权漏洞
当看着各种漏洞的影响披露具体ContiLeaks内通信,发现一个有趣的规律:近四分之三的名单上的漏洞是海拔特权缺陷,这意味着该集团主要是利用漏洞支持post-exploitation活动。
鉴于集团及其子公司可以找到不同的入口点到一个组织以外的漏洞,但需要提升权限为了肆虐,毫不奇怪,他们的大部分漏洞工具包主要集中在海拔特权。
孔蒂和活动目录
通过ContiLeaks,我们得知孔蒂是一组流程一旦进入网络。针对Active Directory(广告),该组织将寻求域管理员权限,ransomware之间是很常见的。ransomware组,广告是一种有价值的工具来帮助实现预期目标的跨组织的网络加密系统。
孔蒂和其附属公司将试图利用Zerologon获得域管理员权限,或者他们将寻求“潜在的有趣的人在一个组织根据BreachQuest的广告。
集团及其子公司的目标广告通过各种手段包括:
解决方案
使用的大部分漏洞孔蒂ransomware集团及其附属公司已被修补在过去的几年里。这个列表上最古老的缺陷2015年六年前修补。
确定影响系统
站得住脚的插件的列表来确定这些漏洞可以被发现在这里。
使我们的客户能够识别所有已知的漏洞利用的孔蒂ransomware集团及其子公司,我们很快就会释放扫描模板,同时为站得住脚的仪表板。io,站得住脚的。sc和Nessus专业现在是可用的。
ContiLeaks扫描模板
为Tenable.io ContiLeaks仪表板
为Tenable.sc ContiLeaks仪表板
Tenable.sc ContiLeaks报告
在仪表板和报告的更多信息,请参考以下文章:
指标的暴露在Tenable.ad视图
站得住脚的。广告客户,我们有检测和预防解决方案的形式指标的暴露(埃克斯波特学院)和指标的攻击(IoA)。io是先发制人的方式在你的广告中发现和解决差距的基础设施,消除ransomware团体和其他网络罪犯的攻击路径,而IoAs实时检测攻击。
例子IOA警惕密码喷洒
下面列出的io和IoAs来源于ContiLeaks内的调查结果:
战术 | 主教法冠ATT&CK | 解决方案 | 类型 |
---|---|---|---|
发现(例如侦探犬) | T1087.001、T1087.002 T1106、T1069.001 T1069.002 | 枚举的本地管理员大量的电脑侦察 | IoA |
特权升级(金票) | T1558.001 | GoldenTicket | IoA |
特权升级(Zerologon) | T1068 | 无担保的配置Netlogon协议 | 埃克斯波特学院 |
凭据访问(Bruteforce、密码喷涂) | T1110.001、T1110.002 T1110.003 T1110.004 | 密码猜测密码喷涂 | IoA |
凭据访问(GPP的收集和解密密码) | T1552.006 | 可逆的GPO的密码 | 埃克斯波特学院 |
凭据访问(ntds.dit) | T1003.003 | 被忽略的提取 | IoA |
凭据访问(加密的密码) | T1003.003 | 可逆的密码 | 埃克斯波特学院 |
凭据访问(Kerberoasting) | T1558.003 | Kerberoasting | IoA |
凭据访问(Mimikatz) | T1003.001 | 操作系统凭证倾销:内存补丁 | IoA |
获得更多的信息
加入站不住脚的安全响应团队站得住脚的社区。
了解更多关于站得住脚的,第一个网络曝光平台整体管理的现代攻击表面。
得到一个天的免费试用站得住脚的。io脆弱性管理。