透视俄乌网络战之二：Conti勒索软件集团（下）

透视俄乌网络战之一：数据擦除软件
透视俄乌网络战之二：Conti勒索软件集团（上）

---

2022年2月27日，Twitter账号@ContiLeaks发布了勒索软件组织Conti的大量聊天记录后，3月1日，ContiLeaks又泄露了Conti的大量源代码及培训资料。

1. 管理面板源代码

分析泄露内容发现，Conti团伙使用的大部分代码来自开源软件，如PHP框架yii2、Kohana两个，被用于构建管理面板 。

代码大部分是用PHP编写的，由Composer管理，唯一例外的是一个用Go编写的工具的存储库。存储库还包含一些配置文件，其中列出了本地数据库用户名和密码，以及一些公共IP地址。

2. Pony凭证窃取恶意软件

Conti Pony Leak 2016.7z文件主要是电子邮件账号密码库，包括gmail.com、mail.ru、yahoo.com等邮件服务商。很明显，这是由Pony凭证窃取恶意软件从各种来源盗窃来的。Pony的历史至少可以追溯到2018年，是诈骗分子们最喜爱的凭证盗窃软件之一。

压缩包内还包含来自FTP/RDP、SSH服务以及其他多个不同网站的凭证。

3. TTPs

TTPs: Tactics, Techniques and Procedures

Conti Rocket Chat Leaks.7z中包含Conti团伙成员关于攻击目标、攻击手段，以及运用Cobalt Strike实施攻击的聊天记录。

tactics, techniques and procedures

Conti团伙成员们在交谈中提到过以下攻击技术：

• Active Directory枚举
• 通过sqlcmd进行SQL数据库枚举
• 如何访问Shadow Protect SPX（StorageCraft）备份
• 如何创建NTDS转储与vssadmin
• 如何打开新RDP端口1350

涉及以下工具：

• Cobalt Strike
• Metasploit
• PowerView
• ShareFinder
• AnyDesk
• Mimikatz

4. Conti Locker v2源代码

此次泄漏文件还包含Conti Locker v2源代码以及一个解密器源代码。但有推特网友称，这款解密器已经没法使用。

解密器的工作原理有点像解压缩有密码保护的文件，只是过程更复杂，因为它们因勒索软件家族而异。有些解密器被内置到一个独立的二进制文件中，有些可以远程启用，它们通常都有内置的钥匙。

5. Conti团伙培训材料

此次泄露文件还有培训材料，有俄语在线课程视频及以下TTPs清单的具体操作方法：

• 破解/Cracking
• Metasploit
• 网络渗透
• Cobalt Strike
• 使用PowerShell进行渗透
• Windows红队攻击
• WMI攻击（与防御）
• SQL Server
• Active Directory
• 逆向工程

Conti的培训课程：CyberArk

6. TrickBot泄露

另一个泄露文件是TrickBot木马/恶意软件使用的论坛聊天记录，内容涵盖2019-2021。

其中，大多数内容是在讨论如何实现网络横向移动、如何使用某些工具，以及一些关于TrickBot和Conti团伙的TTPs信息。例如，在一封帖子中，某位成员分享了他的webshell，并表示“这是我用过的最轻量级、最耐用的webshell”。此外，还包含2021年7月上旬Conti团伙利用Zerologon等漏洞的证据。这并不奇怪，毕竟从2020年9月开始，GitHub上先后出现过4个针对此漏洞的PoC，以及大量漏洞技术细节。

其他泄露内容还包括用Erlang编写的服务器端组件：trickbot-command-dispatcher-backend、trickbot-data-collector-backend，被称为lero与dero。

代码泄露是一把双刃剑，从防御的角度看，这会帮助研究人员更好地了解TrickBot工作原理，进而采取更可靠的防御手段;但另一方面，这些源代码也将流入其他恶意软件开发者手中，指导他们开发出更多甚至更好的类似TrickBot的恶意软件。

参考

[1] Conti Ransomware Decryptor, TrickBot Source Code Leaked
[2] Conti Ransomware Group Internal Chats Leaked Over Russia-Ukraine Conflict