av Bhabesh Raj, Associate Security Analytics Engineer

Conti ransomware blir ansett som etterfølgeren til Wizard Spiders beryktede Ryuk-virus, og det ble observert første gang i mai 2020. Conti distribueres via RaaS-modellen, noe som gjør det mer tilgjengelig og dermed mer potent enn Ryuk. I første kvartal 2021 rapporterte Coveware at Conti hadde den nest høyeste markedsandelen på ransomware-markedet.

Conti er kjent for å angripe tidligere offer på nytt, og de fleste av dem bor i Nord-Amerika og Vest-Europa. Etter en «big game hunting»-tilnærming antas løsepengekravet å være skreddersydd offeret, med krav så høye som 25 millioner dollar. I henhold til Sentinel One Watchtower var Conti først på listen i juli 2021 over menneskedrevne ransomware-grupper, basert på mengden lekkede data.

Grim Spider, en del av den russiske trusselaktøren Wizard Spider, har drevet Ryuk siden 2018. Conti blir sett på som en naturlig utvikling av Ryuk, etter at operatørene deres integrerte den velutprøvde RaaS-modellen og “big-game hunting” til Conti.

Den 14. mai 2021 varslet NCSC at Conti ransomware hadde deaktivert systemet til irske HME (Health Service Executive), noe som påvirket flere tjenester, og som nødvendiggjorde nedstengning av de fleste systemene i nettverket deres.  NCSC mener at angrepene er en del av en felleskampanje mot den irske helsesektoren. Likeledes, den 20. mai 2021, ga FBI ut et eget varsel som identifiserte minst 16 Conti ransomware-angrep det siste året, rettet mot amerikansk helsevesen og First Responder-nettverk, inkludert politimyndigheter og akuttmedisinske tjenester. FBI uttalte også at de 290 USA-baserte helse- og First Responder-nettverkene er blant de mer enn 400 organisasjonene over hele verden som er blitt offer for Conti. Nylig har DarkTracer observert Everest og Contis fortsatte angrep mot franske selskaper.

Den 3. september 2021 rapporterte Sophos om en undersøkelse som avdekker Conti-partnere som bruker ProxyShell-utnyttelse i Exchange-servere for å distribuere web shells. I løpet av noen minutter lyktes man å eksfiltrere rundt 1 TB data i løpet av 48 timer etter første tilgang. Dette kan ses på som et eksempel på hvordan ransomware-tilknyttede selskaper utnytter administratorers manglende evne til å oppdatere kritiske sårbarheter i rett tid i forretningskritiske applikasjoner som Exchange, for å redusere tidsbruken sin til å administrere data.

I dag bruker ransomware-aktører vanlig legitim programvare i kill chain, for å øke hastigheten på distribusjonen av ransomware. En ny utvikling kan sees i AdvIntel-rapporten, som avslører bruken av Atera Remote Monitoring and Management (RMM)-agenten som en bakdør for Conti, for å overleve mulig Cobalt Strike-deteksjon fra EDR-er.

I likhet med andre ransomware-stammer, er Conti ofte observert å bli distribuert av IceID, TrickBot, Buer, BazarBackdoor osv. Den 1. august 2021 beskrev DFIR-rapporten hvordan en trusselaktør installerte TrickBot via BazarCall, som senere tok i bruk Cobalt Strike, og til slutt førte til distribusjonen av Conti.

Conti deler flere TTP-er med andre ransomware-stammer, blant annet Egregor, for eksempel i bruk av RDP, RClone, Cobalt Strike, ADFind, PsExec osv. Den nøyaktige ransomware-belastningen som påvirker selskapets nettverk, kan bare identifiseres gjennom grundig hendelsesrespons etter den første inntrengingsoppdagelsen.

LogPoint-kunder kan bruke vår Ransomware Analytics-pakke, som inneholder analyser for ulike ransomware-stammer.

Faktaoppsummering om Conti

Oppdag Pingback ved hjelp av LogPoint

Administratorer kan oppdage forsøk på å utnytte ProxyShell, ved å se på webserverlogger for Exchange-server.

((url="*/autodiscover.json*" url IN ["*/powershell*", "*/mapi/nspi*", "*/EWS*", "*X-Rps-CAT*"])
OR url IN ["*[email protected]*", "*autodiscover.json%[email protected]*", "*%
[email protected]*", "*Email=autodiscover/autodiscover.json*", "*[email protected]*"])

Administratorer kan filtrere ut mislykkede forsøk ved å legge til statuskodefiltre.

(url="*/autodiscover.json*" url IN ["*/powershell*", "*/mapi/nspi*", "*/EWS*", "*X-Rps-CAT*"] status_code IN [200, 301])

Conti-aktører distribuerer flere web shells etter å ha utnyttet Exchange-sårbarheter, som vi kan oppdage ved hjelp av Sysmons filopprettelseshendelser.

norm_id=WindowsSysmon event_id=11
file="*.aspx" path IN ["C:\inetpub\wwwroot\aspnet_client*", "*\FrontEnd\HttpProxy\owa\auth*"]

Ettersom IceID fortsatt er den vanligste infeksjonsvektoren for Conti, må vi se opp for nye mistenkelige prosesser fra Office-produkter, som kan signalisere ondsinnede makroutførelser.

Norm_id=WinServer label=”Process” label=Create
parent_process IN [“*\winword.exe”, “*\excel.exe”, “*\powerpnt.exe”] “process” IN [“*\cmd.exe”, “*\powershell.exe”, “*\wscript.exe”, “*\jscript.exe”, “*\wmiprvse.exe”]

Det er også kjent at IceID kjøres direkte av Regsvr32 (T1218.010) fra mistenkelige baner som Temp-katalog.

Norm_id=WinServer label=”Process” label=Create
“process”=”*\regsvr32.exe”
command IN [“*\AppData\Local\Temp\*”, “*\AppData\Roaming\Temp\*”]

Conti kjører den vanlige barrasjen av kommandoer, som whoami, ipconfig osv. for rekognosering, og kan enkelt hentes fra prosessopprettelseshendelser.

norm_id=WinServer label="Process" label=Create
"process" IN ["*\whoami.exe", "*\nltest.exe", "*\net1.exe", "*\ipconfig.exe", "*\systeminfo.exe"] | chart count() as cnt, distinct_list(image) as images by host, user
| search cnt > 3

Bruk av WMI til å fjernstyre prosesser (T1047) blir nå et kjennetegn for ransomware-operatører. Å fange opp denne svært viktige aktiviteten, er avgjørende for å oppdage enhver generisk ransomware-belastning.

norm_id=WinServer label="Process" label=Create command="*wmic* /node:* process call create *"

For innsamling av domeneopplysninger, har Conti brukt det legitime ntdsutil-verktøyet (T1003.003) for å opprette en kopi av Active Directory-domenedatabasen.

norm_id=WinServer label="Process" label=Create
command="*ntdsutil*ac * ntds*ifm*"

Siden Cobalt Strike-angrep nå brukes av mange ransomware-varianter, inkludert Conti, kan du lese bloggen vår «Hvordan man oppdager Cobalt Strike-aktivitet i miljøet».

Conti oppretter en ny bruker (T1136.001), og legger den brukeren til i den lokale administratorgruppen. Dette er lett å oppdage fra prosessopprettelseshendelser.

norm_id=WinServer label="Process" label=Create
command IN ["*net* user /add *", "*net* localgroup administrators */add*"]

Conti er kjent for å deaktivere Microsoft Defender (T1562.001) før distribusjon av Cobalt Strike, som er enkelt å oppdage ved å bruke logger fra Defenders hendelseskanal.

norm_id=WinServer event_source="Microsoft-Windows-Windows Defender" event_id=5001

For sideveis bevegelse dropper Conti først DLL-nyttelasten på ADMIN$-delinger (T1021.002) av endepunkter, og senere fjernkjøres nyttelasten ved hjelp av PsExec (T1570).

norm_id=WinServer label="Process" label=Create
command="*cmd* /c copy *.DLL *\ADMIN$"
norm_id=WinServer label="Process" label=Create
command="* -accepteula *" command="*rundll32*.DLL,*"

Conti muliggjør også RDP-tilkoblinger (T1021.001) i endepunkter ved bruk av enten netsh eller via direkte registermanipulasjoner (T1112). Disse kan vi jakte på i prosessopprettelseshendelser.

norm_id=WinServer label="Process" label=Create
command IN ["*netsh *firewall *remote desktop* enable*", "*reg add *\Terminal Server* fDenyTSConnections*0x0*"]

I likhet med Egregor og FiveHands, bruker Conti RClone – et administrasjonsverktøy for lagring i åpen sky for å eksfiltrere data til angriperens skylagring (T1567.002). Dette er enkelt å oppdage fra Sysmons prosessopprettelseshendelser.

norm_id=WindowsSysmon label="Process" label=Create
description="Rsync for cloud storage"

Administratorer bør også se etter uautoriserte Atera-agentinstallasjoner, som sett i nylige Conti-hendelser.

norm_id=WinServer label=Install label=Application
application=AteraAgent

Loggkilder

LogPoint-brukere krever følgende loggkilder for å kjøre de ovennevnte spørringene:

  • Windows’ prosessopprettelse
  • Installasjon av Windows-programvare
  • Microsoft Defender
  • Opprettelse av Sysmon-prosess
  • Opprettelse av Sysmon-fil
  • Brannmur/proxy-server

Oppsett av deteksjon i dybden er avgjørende for å oppdage løsepengevirus

Som forgjengeren, er Conti fortsatt en av de mest aktive ransomware-stammene, med et svimlende antall ofre. I likhet med andre menneskebaserte løsepengevirus, bruker de vanlige verktøy som er både kommersielt og offentlig tilgjengelige for å legge til rette for målene deres. I dagens trussellandskap, med inntrengere som utnytter unngåelse der de ser ut til å være i stand til å unngå oppdagelser, er det å stole på et lite antall oppdagelser en naiv tilnærming.

Det er nødvendig å sette opp en skikkelig tilnærming. Dette er avgjørende for å oppdage nye trusler, som løsepengevirus som bruker vanlige verktøy med en vri for å nå målene sine.

Kontakt LogPoint

Ta kontakt og lær hvorfor ledende selskaper velger LogPoint:

Ta kontakt

Lær mer om LogPoint

Bestill en demo
Kundecaser
Kundeanmeldelser