{"id":3301,"date":"2021-10-11T13:47:35","date_gmt":"2021-10-11T13:47:35","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3301"},"modified":"2023-09-16T11:01:59","modified_gmt":"2023-09-16T11:01:59","slug":"conti-ransomware","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/defence\/conti-ransomware\/","title":{"rendered":"Dettagli di un attacco &#8211; Ransomware Conti"},"content":{"rendered":"\n<p>Quando si tratta di Ransomware, le modalit\u00e0 con cui i vari operatori eseguono l&#8217;attacco possono essere molto diverse fra loro. In questo articolo condividiamo alcuni <strong>dettagli tecnici<\/strong> osservati durante la fase di compromissione dagli operatori della <strong>Gang del Ransomware Conti<\/strong>, particolarmente attiva e fra i pi\u00f9 maturi nel panorama (<a href=\"https:\/\/us-cert.cisa.gov\/ncas\/alerts\/aa21-265a\">riferimento<\/a>).<\/p>\n\n\n\n<p><span>Durante le fasi di compromissione, caratteristica di questi operatori \u00e8 lo sfruttamento di certe vulnerabilit\u00e0, tra cui:<\/span><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Vulnerabilit\u00e0 del 2017 relativa a SMB (<a href=\"https:\/\/docs.microsoft.com\/en-us\/security-updates\/securitybulletins\/2017\/ms17-010\" class=\"ek-link\">info<\/a>);<\/li>\n\n\n\n<li>PrintNightmare  (CVE-2021-34527);<\/li>\n\n\n\n<li>Zerologon  (CVE-2020-1472) <\/li>\n<\/ul>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"1024\" height=\"576\" src=\"https:\/\/fortgale.com\/news\/wp-content\/uploads\/sites\/2\/2021\/11\/ransomware-1024x576-1.gif\" alt=\"\" class=\"wp-image-3873\" loading=\"lazy\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Dettagli tecnici delle fasi d&#8217;attacco<\/h3>\n\n\n\n<p>Conti per ottenere l&#8217;<strong>accesso iniziale<\/strong> all&#8217;infrastruttura delle vittime solitamente utilizza una delle seguenti tecniche:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Campagne di spearphishing<\/strong> con delle e-mail personalizzate che contengono allegati dannosi  <a class=\"ek-link ek-link\" href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1566\/001\/\">T1566.001<\/a> o link malevoli  <a class=\"ek-link\" href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1566\/002\/\">T1566.002<\/a>. Spesso nell&#8217;utilizzo di queste tecniche vengono scaricati altri malware e strumenti che permettono di semplificare il <strong><em>lateral movement <\/em><\/strong>e le altre attivit\u00e0 eseguite dai criminali;<\/li>\n\n\n\n<li>Furto di <strong>credenziali RDP<\/strong>  <a class=\"ek-link\" href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1078\/\">T1078<\/a>;<\/li>\n\n\n\n<li>Trojan che si mascherano da ottimizzatori delle prestazioni del sistema.<\/li>\n<\/ul>\n\n\n\n<p>Dopo aver ottenuto l&#8217;accesso all&#8217;infrastruttura della vittima, gli attaccanti <strong>eseguono <\/strong>comandi della Shell di Windows <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1059\/003\/\" class=\"ek-link\">T1059.003<\/a> e frutta le API native di Windows <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1106\/\" class=\"ek-link\">Technique T1106<\/a>. CISA e FBI hanno osservato che i criminali utilizzano strumenti per scansionare ed eseguire attacchi brute force su routers, telecamere e dispositivi di archiviazione collegati alla rete mediante interfacce web.<\/p>\n\n\n\n<p>Per ottenere la <strong>persistenza <\/strong>all&#8217;interno dell&#8217;infrastruttura i criminali sfruttano le utenze valide per i software per il monitoraggio remoto e la gestione da remoto del Desktop <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1078\/\" class=\"ek-link\">T1078<\/a>. Inoltre, possono anche utilizzare gli accessi delle VPN, Citrix e degli altri software che permettono di accedere dall&#8217;esterno alle risorse presenti all&#8217;interno dell&#8217;infrastruttura.<\/p>\n\n\n\n<p>Per la <strong>Privilege Escalation<\/strong> Conti esegue una Process Injection caricando in memoria ed eseguendo una dynamic-link library (DLL) cifrata <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1055\/001\/\" class=\"ek-link\">T1055.001.<\/a><\/p>\n\n\n\n<p>Come tecniche per la <strong>Defense Evasion<\/strong> esegue codice offuscato <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1027\/\" class=\"ek-link\">T1027<\/a>, permettendogli di nascondere le chiamate alle API di Windows, oltre a eseguire Process Injection e decifra il suo payload attraverso l&#8217;uso di una chiave AES-256<a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1140\/\" class=\"ek-link\"> T1140<\/a>.<\/p>\n\n\n\n<p>Per <strong>ottenere le credenziali d&#8217;accesso<\/strong> i criminali di Conti utilizzano svariate tecniche, tra cui:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Brute Force<a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1110\/\" class=\"ek-link\"> T1110<\/a><\/li>\n\n\n\n<li>Rubare o falsificare i ticket Kerberos <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1558\/003\/\" class=\"ek-link\">T1558.003<\/a><\/li>\n\n\n\n<li>System Network Configuration Discovery <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1016\/\" class=\"ek-link\">T1016<\/a><\/li>\n\n\n\n<li>System Network Connections Discovery  <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1049\/\" class=\"ek-link\">T1049<\/a><\/li>\n\n\n\n<li>Process Discovery  <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1057\/\" class=\"ek-link\">T1057<\/a><\/li>\n\n\n\n<li>File and Directory Discovery<a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1083\/\" class=\"ek-link\"> T1083<\/a><\/li>\n\n\n\n<li>Network Share Discovery  <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1135\/\" class=\"ek-link\">T1135<\/a><\/li>\n<\/ul>\n\n\n\n<p>Per la fase di <strong>lateral movement<\/strong> solitamente si sfrutta il protocollo SMB <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1021\/002\/\" class=\"ek-link\">T1021.002<\/a> e compromettendo i file condivisi tra pi\u00f9 utenti e macchine <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1080\/\" class=\"ek-link\">T1080<\/a>.<\/p>\n\n\n\n<p>Infine, Conti esegue la fase di <strong>Impatto<\/strong> sull&#8217;infrastruttura cifrando i dati <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1486\/\" class=\"ek-link\">T1486<\/a> eseguendo le funzioni <code>CreateIoCompletionPort()<\/code>, &nbsp;<code>PostQueuedCompletionStatus()<\/code>, e&nbsp;<code>GetQueuedCompletionPort().<\/code> Per la cifratura utilizza una chiave AES-256 diversa per ogni file a partire da con una chiave RSA-4096 pubblica unica per ogni vittima. Solitamente vengo esclusi dalla cifratura i file con estensione &#8220;exe&#8221;, &#8220;dll&#8221; e &#8220;lnk&#8221;. Inoltre, non di rado si osserva anche la cancellazione delle Shadow Copies <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1490\/\" class=\"ek-link\">T1490<\/a> e stop di diversi servizi Windows <a href=\"https:\/\/attack.mitre.org\/versions\/v9\/techniques\/T1489\/\" class=\"ek-link\">T1489<\/a> che sono necessari per la sicurezza, i backup e i database.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">IOC<\/h3>\n\n\n\n<p>Recentemente sono stati rilevati i seguenti indirizzi relativi a Cobalt Strike utilizzati da Conti:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><code>162.244.80[.]235<\/code><\/li>\n\n\n\n<li><code>85.93.88[.]165<\/code><\/li>\n\n\n\n<li><code>185.141.63[.]120<\/code><\/li>\n\n\n\n<li><code>82.118.21[.]1<\/code><\/li>\n<\/ul>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Quando si tratta di Ransomware, le modalit\u00e0 con cui i vari operatori eseguono l&#8217;attacco possono essere molto diverse fra loro. In questo articolo condividiamo alcuni dettagli tecnici osservati durante la fase di compromissione dagli operatori della Gang del Ransomware Conti, particolarmente attiva e fra i pi\u00f9 maturi nel panorama (riferimento).<\/p>\n","protected":false},"author":1,"featured_media":4077,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1497],"tags":[1619,1595,1491,1621,1623],"class_list":["post-3301","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-defence","tag-attck-it","tag-conti-it","tag-cve-it","tag-defence-it","tag-mitre-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3301","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3301"}],"version-history":[{"count":3,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3301\/revisions"}],"predecessor-version":[{"id":6014,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3301\/revisions\/6014"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media\/4077"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}