Conti勒索软件分析报告
近日,安天CERT监测到Conti勒索软件呈现活跃趋势。该勒索软件家族被发现于2019年,其背后的攻击组织在地下论坛以RaaS(勒索软件即服务)形式运营,并广泛招收附属成员。自2020年5月开始,攻击活动逐渐增多,持续活跃至今。该勒索软件主要通过钓鱼邮件、利用其他恶意软件、漏洞利用和远程桌面协议(RDP)暴力破解进行传播,组合利用多种工具实现内网横向移动,2021年12月Log4j被曝漏洞(CVE-2021-44228)后,Conti勒索软件运营者开始利用存在Log4j漏洞的VMWare vCenter进行横向移动。2020年7月利用匿名化Tor建立赎金支付与数据泄露平台,采用“威胁曝光企业数据+加密数据勒索”双重勒索策略。
安天CERT通过关联分析发现,该组织同运营Ryuk勒索软件的Wizard Spider黑客组织分支机构Grim Spider存在一定关系[1]。结合Ryuk勒索软件攻击活跃度逐渐降低,二者使用的攻击工具部分相同,攻击载荷代码段相似,都曾利用TrickBot、Emotet、IcedID和BazarLoader等木马程序进行传播等多种原因,安天CERT推测Conti勒索软件将成为Ryuk勒索软件的继承者。
Conti勒索软件通过Tor建立网站,发布受害者信息及窃取到的数据文件。自其于2020年7月29日公布第一个受害者信息以来,截至2021年12月15日,共计公布了631个受害者信息,其中,2021年在全球范围内影响了超过470个组织机构。据安天CERT统计,2021年11月1日至12月15日,被公开的受害者数量为90个,且可能存在未被公开的受害者。受害者所属国家主要集中于美国、意大利、德国、澳大利亚和法国,所属行业涉及制造、服务、建筑、金融、能源、医疗和政府组织机构。我国也有被公开的受害者。
经验证,安天智甲终端防御系统(简称IEP)可实现对该勒索软件的有效查杀和对用户终端的切实防护。
攻击爱尔兰卫生服务执行局并窃取700GB敏感文件
2021年5月14日,爱尔兰卫生服务执行局(HSE)遭受Conti勒索软件攻击,导致多家医院的服务取消和中断[2]。Conti勒索软件攻击者声称从HSE窃取了700GB的未加密文件,包括患者信息和员工信息、合同、财务报表、工资单等。爱尔兰总理表示,他们拒绝向Conti勒索软件背后的攻击组织支付2000万美元的赎金。
攻击美国俄克拉荷马州塔尔萨市并窃取18000多份敏感文件
美国俄克拉荷马州塔尔萨市在5月遭受Conti勒索软件攻击,这次攻击破坏了塔尔萨市的在线账单支付系统、公用事业账单系统和电子邮件系统[3]。Conti勒索软件背后的攻击组织声称对此负责并表示已经公开窃取到的18938份文件。
攻击日本电子产品供应商并窃取1.5TB数据
9月22日,总部位于日本的跨国电子产品供应商JVCKenwood遭受Conti勒索软件攻击,攻击者声称窃取了1.5TB的数据并要求支付700万美元的赎金[4]。
攻击英国伦敦高端珠宝商并窃取大量名人、政治家和国家元首数据文件
总部位于英国伦敦的高端珠宝商Graff在10月遭受Conti勒索软件攻击,被窃取文件中包含众多名人、政治家和国家元首的数据文件[5]。该起事件的攻击组织在其Tor网站上发布了数万份文件,迫于政治压力,11月4日该组织发表声明,任何与沙特阿拉伯、阿联酋和卡塔尔家庭成员有关的信息将被删除,并向穆罕默德·本·萨勒曼王子殿下和其他所有王室成员致歉[6]。
图3-1 Conti勒索软件组织运营的Tor网站
因部分受害者未按其要求支付赎金,Conti组织运营者发布声明要向外出售部分已入侵受害组织的访问权限。
攻击者在入侵受害者系统后,会窃取系统中的文件,在Tor网站上公开部分窃取到的数据,以百分比的进度进行公开,已公开的数据任何访问者都可自行下载,以威胁受害者及时支付数据,未按期支付则会全部公开。部分大小为0的数据,猜测可能是受害者支付了赎金,攻击者未对其数据进行公开。
据安天CERT统计,2021年11月1日至12月15日,被公开的受害者数量为90个,且可能存在未被公开的受害者。受害者所属国家主要集中于美国、意大利、德国、澳大利亚和法国,所属行业涉及制造、服务、建筑、金融、能源、医疗和政府组织机构。我国也有被公开的受害者。数据大小根据已泄露文件所占百分比进行换算,公开的受害者信息如下表所示:
5.1 个人防护
1. 强化终端防护:安装反病毒软件。建议安天智甲用户开启勒索病毒防御工具模块(默认开启);
2. 加强口令强度:避免使用弱口令,建议使用16位或更长的密码,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;
3. 及时更新补丁:建议开启自动更新功能,安装系统补丁,服务器应及时更新系统补丁;
4. 关闭高危端口:关闭3389、445、139、135等不用的高危端口;
5. 关闭PowerShell:如不使用PowerShell命令行工具,建议将其关闭;
6. 定期数据备份:定期对重要文件进行数据备份,备份数据应与主机隔离;
5.2 企业防护
6.1 样本标签
病毒名称 | Trojan/Win32.GenKryptik |
原始文件名 | 1.exe(Mycetogenic) |
MD5 | BB97B436D1228B690AE475A8BCFE2CC5 |
处理器架构 | Intel 386 or later processors and compatible processors |
文件大小 | 388.36KB(397,680字节) |
文件格式 | BinExecute/Microsoft.EXE[:X86] |
时间戳 | 2106-02-07 14:28:15(被恶意篡改) |
数字签名 | Symantec Corporation |
加壳类型 | 无 |
编译语言 | Microsoft Visual C++7.0 |
VT首次上传时间 | 2021-10-29 15:09:16 |
VT检测结果 | 50/68 |
6.2 勒索软件概览
传播方式 | 钓鱼邮件、搭载其他恶意软件、漏洞利用、RDP(远程桌面控制协议)暴力破解 |
加密文件命名方式 | <原文件名>+<原文件后缀名>+<.NEWCD> |
联系方式 | 攻击者建立的Tor网站 |
加密文件类型 | 加密除特定格式外的所有文件(特定格式包括*.dll、*.msi、*.exe、*.lnk、*.sys等) |
勒索币种与金额 | 比特币或门罗币(实际金额通过Tor服务器聊天窗口与攻击者沟通后得知) |
是否有针对性 | 存在定向攻击案例 |
能否解密 | 暂未发现公开的解密工具 |
是否内网传播 | 利用内网渗透工具和漏洞进行横向移动 |
勒索信界面 |
|
6.3 样本分析
该样本中包含大量与实际勒索程序无关的函数和自定义字符串,以增加逆向分析难度。
添加自定义字符串以干扰分析。
图6-2 插入大量自定义字符串
调试中发现创建互斥量“kasKDJSAFJauisiudUASIIQWUA82”保证运行单一实例。
采用多线程执行操作以提高遍历系统磁盘的速度。
遍历磁盘各级目录。
遍历各级目录下文件。
通过ARP广播,获取局域网内存在的主机信息,访问判断对应主机是否开放445端口,对获取到的信息进行回传,便于开展后期内网渗透攻击。
加密完成后在各磁盘目录及桌面释放名为"readme.txt"的勒索信。
将勒索信内容写入后,创建于存在被加密文件的目录下。
攻击者未在勒索信中给予具体赎金要求,实际的勒索金额需在其特定的Tor网站沟通后得知。
文件加密完成后,在原始文件后缀添加.NEWCD作为新的后缀名。
被加密文件格式为<原文件名>+<原文件后缀名>+<.NEWCD>
https://www.logpoint.com/en/blog/detecting-conti-ransomware-the-successor-of-infamous-ryuk/
[2] 系统遭到Conti勒索软件团伙攻击后,爱尔兰健康服务执行局(HSE)拒绝支付2000万美元的赎金要求
https://securityaffairs.co/wordpress/118001/cyber-crime/ireland-health-service-executive-conti-ransomware.html
[3] 塔尔萨警方称,在Conti勒索软件攻击后,在暗网泄露了18000个包含市民信息的文件
https://www.zdnet.com/article/tulsa-warns-residents-that-police-citations-and-reports-leaked-to-dark-web-after-conti-ransomware-attack/
[4] JVCKenwood被Conti勒索软件攻击,声称窃取了1.5TB数据
https://www.bleepingcomputer.com/news/security/jvckenwood-hit-by-conti-ransomware-claiming-theft-of-15tb-data/
[5] Conti Group在对珠宝商进行赎金攻击后泄露名人数据
https://www.infosecurity-magazine.com/news/conti-leak-celebs-data-ransom/
[6] Conti致歉声明
https://pastebin.com/eeLNnAG0
[7] Conti勒索软件被确定为Ryuk的潜在继任者
https://securityintelligence.com/news/news-conti-ransomware-ryuks-successor/