af Bhabesh Raj Rai, Associate Security Analytics Engineer

Conti ransomware, der menes at være efterfølgeren til°Wizard Spiders°berygtede Ryuk-ransomware og blev først observeret i maj 2020. Conti distribueres via RaaS-modellen, hvilket gør den mere tilgængelig og dermed mere potent end Ryuk. I 1. kvartal 2021°rapporterede Coveware°, at Conti har påberåbt sig den næsthøjeste markedsandel på ransomware-scenen.

Conti er kendt for at angribe tidligere ofre igen, hvoraf de fleste bor i°Nordamerika og Vesteuropa. Ved at følge en “storvildtsjagt”-tilgang skræddersys løsepengebeløbet til ofret, og der er set beløb på helt op til 25 millioner USD. Ifølge°Sentinel One Watchtower rangerede Conti i juli 2021 først efter mængden af lækkede data blandt alle andre ransomwaregrupper ledet af personer.

Grim Spider, en underafdeling af den russiske trusselsaktør Wizard Spider, har drevet Ryuk siden 2018. Conti ses som en naturlig videreudvikling af Ryuk, efter at dens operatører har integreret den gennemprøvede RaaS-model og ‘big-game hunting’ i Contis drift.

Den 14. maj 2021 gjorde°NCSC opmærksom på, at Conti ransomware havde deaktiveret HSE (Health Service Executive)-systemet alvorligt, hvilket påvirkede flere tjenester og nødvendiggjorde nedlukning af størstedelen af systemerne på deres netværk. NCSC mener, at angrebene er en del af den samme kampagne, der er rettet mod den irske sundhedssektor. På samme måde udsendte°FBI den 20. maj 2021 sin egen advarsel°, der identificerede mindst 16 Conti ransomware-angreb rettet mod amerikanske sundheds- og førstehjælpsnetværk, herunder retshåndhævende myndigheder og akutmedicinske tjenester, inden for det seneste år. FBI erklærede også, at de 290 sundheds- og førstehjælpsnetværk i USA er blandt de mere end 400 organisationer verden over, der er blevet ofre for Conti. Senest har°DarkTracer°observeret Everest og Contis fortsatte målretning af franske virksomheder.

Den 3. september 2021 rapporterede°Sophos°om en undersøgelse, der afslørede, at Conti-partnere, der bruger ProxyShell, udnytter Exchange-servere til udrulning af webshells. Det lykkedes på få minutter og eksfiltrerede omkring 1 TB data inden for 48 timer efter den første adgang. Dette kan ses som et eksempel på, hvordan ransomware-partnere udnytter administratorers manglende evne til rettidigt at udbedre kritiske sårbarheder i forretningskritiske applikationer som Exchange for at reducere deres time-to-ransomware-metrik.

I øjeblikket bruger ransomware-aktører ofte legitim software i deres kill-kæde for at fremskynde ransomware-implementeringsprocessen. En nylig udvikling kan ses i°AdvIntel-rapporten,°der afslører brugen af Atera Remote Monitoring and Management (RMM)-agenten som bagdør af Conti for at overleve mulige Cobalt Strike-detekteringer fra EDR’er.

Ligesom andre ransomware-varianter observeres det, at Conti ofte bliver anvendt af IceID, TrickBot, Buer, BazarBackdoor osv. Den 1. august 2021 beskrev°DFIR-rapporten,°hvordan en trusselsaktør installerede TrickBot via BazarCall, som senere implementerede Cobalt Strike og til sidst førte til implementeringen af Conti.

Conti deler flere TTP’er°med andre°ransomware-varianter som Egregor, f.eks. i brugen af RDP, RClone, Cobalt Strike, ADFind, PsExec osv. Den nøjagtige ransomware-variant, der angriber virksomhedens netværk, kan kun identificeres gennem grundig hændelsesreaktion efter den første registrering af indtrængen.

LogPoint-kunder kan bruge vores°Ransomware Analytics-pakke,°der indeholder analyser til forskellige ransomware-varianter.

Hurtige fakta om Conti

Identifikation af Conti ved hjælp af LogPoint

Administratorer kan registrere udnyttelsesforsøg med ProxyShell ved at se på webserverlogs på Exchange-server.

((url="*/autodiscover.json*" url IN ["*/powershell*", "*/mapi/nspi*", "*/EWS*", "*X-Rps-CAT*"])
OR url IN ["*[email protected]*", "*autodiscover.json%[email protected]*", "*%
[email protected]*", "*Email=autodiscover/autodiscover.json*", "*[email protected]*"])

Administratorer kan filtrere mislykkede forsøg fra ved at tilføje statuskodefiltrene.

(url="*/autodiscover.json*" url IN ["*/powershell*", "*/mapi/nspi*", "*/EWS*", "*X-Rps-CAT*"] status_code IN [200, 301])

Conti-aktører installerer flere webshells efter udnyttelse af Exchange-sårbarheder, som vi kan registrere ved hjælp af Sysmons filoprettelseshændelser.

norm_id=WindowsSysmon event_id=11
file="*.aspx" path IN ["C:\inetpub\wwwroot\aspnet_client*", "*\FrontEnd\HttpProxy\owa\auth*"]

Da IceID stadig er den mest almindelige infektionsvektor for Conti, er vi nødt til at holde øje med opståelse af mistænkelige processer med Office-produkter, som kan signalere ondsindede makroudførelser.

Norm_id=WinServer label=”Process” label=Create
parent_process IN [“*\winword.exe”, “*\excel.exe”, “*\powerpnt.exe”] “process” IN [“*\cmd.exe”, “*\powershell.exe”, “*\wscript.exe”, “*\jscript.exe”, “*\wmiprvse.exe”]

IceID er også kendt for at blive udført direkte af°Regsvr32°(T1218.010) fra mistænkelige stier som f.eks. Temp directory.

Norm_id=WinServer label=”Process” label=Create
“process”=”*\regsvr32.exe”
command IN [“*\AppData\Local\Temp\*”, “*\AppData\Roaming\Temp\*”]

Conti kører den sædvanlige barrage af kommandoer som f.eks. whoami, ipconfig osv. til rekognoscering, som nemt kan opfanges fra procesoprettelseshændelser.

norm_id=WinServer label="Process" label=Create
"process" IN ["*\whoami.exe", "*\nltest.exe", "*\net1.exe", "*\ipconfig.exe", "*\systeminfo.exe"] | chart count() as cnt, distinct_list(image) as images by host, user
| search cnt > 3

Brug af WMI til fjernstyring af processer (T1047) er nu ved at blive et kendetegn for ransomware-operatører. Det er afgørende at opfange denne meget vigtige aktivitet for at kunne detektere en eventuel generisk ransomware-variant.

norm_id=WinServer label="Process" label=Create command="*wmic* /node:* process call create *"

Til indsamling af domæneoplysninger har Conti brugt det legitime ntdsutil-værktøj (T1003.003) til at oprette en°kopi af Active Directory-domænedatabasen.

norm_id=WinServer label="Process" label=Create
command="*ntdsutil*ac * ntds*ifm*"

Da cobalt strike nu bruges af mange ransomware-varianter, herunder Conti, henvises til vores°blog “detecting Cobalt Strike activity in your enterprise” (registrering af Cobalt Strike-aktivitet i din virksomhed).

For persistens opretter Conti en ny bruger (T1136.001) og tilføjer denne bruger til den lokale administratorgruppe, hvilket er trivielt at detektere via procesoprettelseshændelser.

norm_id=WinServer label="Process" label=Create
command IN ["*net* user /add *", "*net* localgroup administrators */add*"]

Conti er kendt for at deaktivere Microsoft Defender (T1562.001) før implementering af Cobalt Strike, som er nem at registrere ved hjælp af logfiler fra Defenders hændelseskanal.

norm_id=WinServer event_source="Microsoft-Windows-Windows Defender" event_id=5001

Ved lateral bevægelse dropper Conti først DLL-belastningen på ADMIN$-dele (T1021.002) af slutpunkter og udfører senere den ondsindede kode eksternt ved hjælp af PsExec (T1570).

norm_id=WinServer label="Process" label=Create
command="*cmd* /c copy *.DLL *\ADMIN$"
norm_id=WinServer label="Process" label=Create
command="* -accepteula *" command="*rundll32*.DLL,*"

Conti aktiverer også RDP-forbindelser (T1021.001) i slutpunkter ved hjælp af enten netsh eller via direkte registermanipulationer (T1112), som vi kan jage fra procesoprettelseshændelser.

norm_id=WinServer label="Process" label=Create
command IN ["*netsh *firewall *remote desktop* enable*", "*reg add *\Terminal Server* fDenyTSConnections*0x0*"]

Ligesom Egregor og FiveHands bruger Conti°RClone,°et°open source cloud storage management-værktøj til at eksfiltrere data til angriberens cloud storage (T1567.002), hvilket er trivielt at registrere fra Sysmons procesoprettelseshændelser.

norm_id=WindowsSysmon label="Process" label=Create
description="Rsync for cloud storage"

Administratorer skal også lede efter installationer af ureglementerede Atera-agenter, som det ses i de seneste Conti-hændelser.

norm_id=WinServer label=Install label=Application
application=AteraAgent

Logkilder

LogPoint-brugere kræver følgende logkilder for at køre ovennævnte forespørgsler:

  • Oprettelse af Windows-proces
  • Windows softwareinstallation
  • Microsoft Defender
  • Oprettelse af Sysmon-proces
  • Oprettelse af Sysmon-fil
  • Firewall/Proxy Server

Opsætning af identifikation i dybden er afgørende for at identificere Ransomware

Ligesom sin forgænger er Conti stadig en af de mest aktive ransomware-varianter med et forbløffende stort antal ofre. Ligesom anden humanbaseret ransomware anvender den almindeligt anvendte værktøjer, både kommercielle og offentligt tilgængelige, til at fremme sit mål. I nutidens trusselslandskab med modstandere, der bruger evasion, hvor de synes at være egnede til at undgå skrøbelige identifikationer, der er oprettet af blå teams – er det udelukkende at sætte sin lid til et begrænset antal identifikationer, en naiv tilgang.

Det er nødvendigt at etablere en korrekt dybdegående forsvarstilgang. Dette er afgørende for at opdage trusler, der udvikler sig, såsom ransomware, der bruger almindelige værktøjer ‘med et twist’ for at nå deres mål.

Live Session


Ransomware: The imminent threat everyone should understand to be resilient

cyber threat

21st Oct, 3 pm (CET)

 

Join Live Session

Få mere at vide om LogPoint

Book en demo
Kundehistorier
Kundeanmeldelser