ランサムウェア「Conti」プレイブックが翻訳され攻撃手段が明らかに

ランサムウェアグループContiの関係者が攻撃マニュアルを流出させてから、セキュリティ研究者は自動翻訳ではない自然翻訳されたバージョンを公開しました。

ランサムウェアのContiグループの技術マニュアルが流出:内部犯行の仕業か:内部侵入と暗号化のすべての教育マニュアル

これは、Contiグループの攻撃方法に関する情報を提供するだけでなく、熟練していない攻撃者がContiランサムウェアの協力者となり、貴重なターゲットを攻撃することを可能にする徹底したマニュアルになります。

資料に記載されている攻撃シナリオは非常に精密なもので「素人でも(破壊的な)ランサムウェア攻撃を実行できる」と研究者は述べています。

また、このような参入障壁の低さが技術的に劣る(別名 “a script kiddie”)とみなされ、重要性が低いと判断された不満を持つメンバーによる漏洩につながった可能性もあります

マニュアルに記載されている「ヒント」の中には、被害者のネットワークに侵入した後、コマンドやツールを使ってユーザー(特にActive Directoryにアクセスできるユーザー)をリストアップし、管理者権限を取得する方法がありました。

また、特権的なアクセス権を持つ従業員を特定するために、LinkedInなどのソーシャルメディアをチェックするといった単純な偵察についても詳しく説明されており、欧米の企業ではこのテクニックが有効であると記されています。

今回流出した資料に記載されているツールは、レッドティーミングフレームワーク「Cobalt Strike」で、クラックされた4.3バージョンのソフトウェアが使用されています。

使用方法には、ZeroLogonの脆弱性(CVE-2020-1472)を悪用することも書かれおり、Contiランサムウェアのプレイブックで解説されている重要なバグは、PrintNightmare(CVE-2021-1675、CVE-2021-34527)とEternalBlue(CVE-2017-0143/0148)でした。

Contiがリストしたツールの中には、研究者がインシデント対応の際に通常目にするものとは異なるものもありました。

  • Armitage – MetasploitペネトレーションテストプラットフォームのJavaベースのGUIフロントエンド
  • SharpView – PowerShell ベースの PowerSploit 攻撃ツールキットの PowerView ツールの .NET 移植版
  • SharpChrome – Chromeのログインとクッキーを復号化するツール
  • SeatBelt – OSのバージョン、UACポリシー、ユーザーフォルダなどのシステムデータを収集します。

流出したマニュアルに記載されているその他のツールやコマンドラインユーティリティには、以下のようなものがあります。

  • ADFind – Active Directoryのクエリツール
  • PowerShellフレームワーク – Windows Defenderを無効にするためのツール
  • GMER – セキュリティソリューションを特定し、それを無効にするための代替手段
  • SMBAutoBrute – 現在のドメイン上のアカウントをブルートフォースするためのツール
  • Kerberoasting – ブルートフォースでKerberosのパスワードのハッシュを解読する技術
  • Mimikatz – メモリからパスワードをダンプするツール
  • RouterScan – ネットワーク上のデバイスを発見し、エクスプロイトやブルートフォースでパスワードを抽出するためのツールです。
  • AnyDesk – リモートデスクトップアプリケーション、パーシステンス用
  • Atera – 別のリモートアクセスソフトウェア

情報搾取の部分に移る前に、協力者はオープンソースの情報を探して被害者の収入について知るように指示されます。

Contiのアフィリエイトからのリークには、主にロシア語で書かれたビデオチュートリアルも含まれており、PowerShellを使ったペンテスト、Active Directoryへの攻撃、WindowsドメインでのレバレッジSQL Serverの使用方法などが説明されていました。

アフィリエイトのビデオチュートリアル(Metasploit、PowerShell、WMIの攻撃と防御、ネットワークのペンテスト)の多くは、オンラインで容易に入手できる様々な攻撃的セキュリティリソースからのもので、Cisco Talos社の研究者は流出したConti社のマニュアルの翻訳版は、このContiの戦術、技術、手順や、文書に触発された他の研究者の理解を深めるのに役立つと考えています。

防御側にとっては、このような行動を検知するためのロジックや、リスクを軽減するための補正制御を行っていることを確認する機会となります。この翻訳は防衛者がこれらのグループがどのように活動しているのか、またこれらの攻撃で活用する傾向のあるツールをよりよく把握する機会と捉えるべきです – Cisco Talos社

研究者は、翻訳された個々のテキストをZIPアーカイブのほか、PDFファイルで提供されています。

https://s3.amazonaws.com/talos-intelligence-site/production/document_files/files/000/095/639/original/Conti_playbook_translated.pdf?1630583757

https://www.fortinet.com/blog/threat-research/affiliates-cookbook-firsthand-peek-into-operations-and-tradecraft-of-conti

Leave a Reply

Your email address will not be published.