av Bhabesh Raj, Associate Security Analytics Engineer

Många trodde att Conti ransomware var efterföljaren till Wizard Spiders berömda ransomware Ryuk och Conti observerades första gången i maj 2020. Conti distribueras via RaaS-modellen, vilket gör den mer tillgänglig och därmed mer potent än Ryuk. Coveware rapporterade under första kvartalet 2021 att Conti har tagit den näst högsta marknadsandelen inom ransomware.

Conti är känt för att attackera sina offer flera gånger, och de flesta som drabbas befinner sig i Nordamerika och Västeuropa. Conti fokuserar på stora mål och riktar sig till stora företag på grund av deras förmåga att betala en hög lösensumma med krav på upp till 25 miljoner dollar. Enligt Sentinel One Watchtower rankades Conti i juli 2021 som nummer ett enligt mängd utläckta data bland alla andra ransomware-grupper.

Grim Spider, en cell av den ryska hotaktören Wizard Spider, har drivit Ryuk sedan 2018. Conti ses som en naturlig utveckling av Ryuk efter att deras operatörer integrerat den beprövade RaaS-modellen och fokuserar på stora mål i Contis verksamhet.

Den 14 maj 2021 informerade NCSC om att Conti ransomware allvarligt påverkat Health Service Executive (HSE) och flera av deras flera tjänster, och det kräver att majoriteten av systemen i deras nätverk stängs av. NCSC anser att attackerna är en del av samma kampanj som riktade sig mot den irländska hälso- och sjukvårdssektorn. På samma sätt släppte FBI den 20 maj 2021 sin egen varning som identifierade minst 16 ransomware-attacker från Conti riktade mot amerikanska hälso- och sjukvårdsnätverk, inklusive brottsbekämpande organ och akutsjukvård, under det senaste året. FBI uppgav också att de 290 USA-baserade nätverken för hälso- och sjukvård och utryckningspersonal är bland de mer än 400 organisationer världen över som har utsatts för attacker av Conti. Senast upptäckte DarkTracer Everest och Contis fortsatta inriktning mot franska företag.

Den 3 september 2021 rapporterade Sophos en undersökning som visade Conti-medlemmar använder ProxyShell-exploatering på Exchange-servrar för att driftsätta web shell-program. På bara några minuter filtrerade de ut cirka 1 TB data inom 48 timmar efter den ursprungliga åtkomsten. Detta kan ses som ett exempel på hur ransomware-bolag utnyttjar administratörernas oförmåga att i tid patcha kritiska sårbarheter i affärskritiska program som Exchange för att snabbare kunna  sprida sin ransomware.

För närvarande använder ransomware-aktörer vanligtvis legitim programvara i sin Kill Chain för att påskynda distributionen av ransomware. En av de senaste utvecklingarna kan ses i AdvIntel-rapporten som visar användningen av agenten Atera Remote Monitoring and Management (RMM) som en bakdörr från Conti, för att överleva möjliga Cobalt Strike-upptäckter från EDR.

I likhet med andra ransomware-stammar sprids Conti vanligtvis av IceID, TrickBot, Buer, BazarBackdoor, etc. Den 1 augusti 2021 beskrev DFIR-rapporten hur en hotaktör installerade TrickBot via BazarCall, som senare driftsatte Cobalt Strike och slutligen ledde till driftsättning av Conti.

Conti delar flera TTP:er med andra ransomware-stammar som Egregor, såsom användning av RDP, RClone, Cobalt Strike, ADFind, PsExec, etc. Den exakta ransomware-belastningen som påverkar företagets nätverk kan endast identifieras genom en grundlig incidentrespons efter den initiala intrångsdetekteringen.

LogPoint-kunder kan använda vårt Ransomware Analytics-paket som innehåller analysverktyg för olika ransomware-stammar.

Snabbfakta om Conti

Identifiera Egregor med hjälp av LogPoint

Administratörer kan upptäcka exploateringsförsök med ProxyShell genom att titta på webbserverloggar för Exchange-server.

((url="*/autodiscover.json*" url IN ["*/powershell*", "*/mapi/nspi*", "*/EWS*", "*X-Rps-CAT*"])
OR url IN ["*[email protected]*", "*autodiscover.json%[email protected]*", "*%
[email protected]*", "*Email=autodiscover/autodiscover.json*", "*[email protected]*"])

Administratörer kan filtrera bort misslyckade försök genom att lägga till statuskodfilter.

(url="*/autodiscover.json*" url IN ["*/powershell*", "*/mapi/nspi*", "*/EWS*", "*X-Rps-CAT*"] status_code IN [200, 301])

Conti-aktörer driftsätter flera web shell-uppladdningar efter att ha utnyttjat Exchange-sårbarheter, som vi kan upptäcka med hjälp av Sysmons filskapande händelser.

norm_id=WindowsSysmon event_id=11
file="*.aspx" path IN ["C:\inetpub\wwwroot\aspnet_client*", "*\FrontEnd\HttpProxy\owa\auth*"]

Eftersom IceID fortfarande är den vanligaste infektionsvektorn för Conti, måste vi hålla utkik efter misstänkta processer från Office-produkter som kan signalera skadliga makroexekveringar.

Norm_id=WinServer label=”Process” label=Create
parent_process IN [“*\winword.exe”, “*\excel.exe”, “*\powerpnt.exe”] “process” IN [“*\cmd.exe”, “*\powershell.exe”, “*\wscript.exe”, “*\jscript.exe”, “*\wmiprvse.exe”]

IceID är också känt för att exekveras direkt av Regsvr32 (T1218.010) från misstänkta vägar som Temp-katalogen.

Norm_id=WinServer label=”Process” label=Create
“process”=”*\regsvr32.exe”
command IN [“*\AppData\Local\Temp\*”, “*\AppData\Roaming\Temp\*”]

Conti kör den vanliga mängden kommandon som whoami, ipconfig, etc. för rekognosering, som enkelt kan plockas upp av processkapande händelser.

norm_id=WinServer label="Process" label=Create
"process" IN ["*\whoami.exe", "*\nltest.exe", "*\net1.exe", "*\ipconfig.exe", "*\systeminfo.exe"] | chart count() as cnt, distinct_list(image) as images by host, user
| search cnt > 3

Användning av WMI för att fjärrköra processer (T1047) håller nu på att bli ett signum för ransomware-operatörer. Det är avgörande att fånga upp denna mycket viktiga aktivitet för att upptäcka eventuella allmänna ransomware-stammar.

norm_id=WinServer label="Process" label=Create command="*wmic* /node:* process call create *"

För att samla in domänreferenser har Conti använt det legitima ntdsutil-verktyget (T1003.003) för att skapa en kopia av Active Directory-domändatabasen.

norm_id=WinServer label="Process" label=Create
command="*ntdsutil*ac * ntds*ifm*"

Eftersom Cobalt Strike nu används av många varianter av ransomware, inklusive Conti, se vår blogg ”Detecting Cobalt Strike activity in your enterprise”.

Conti skapar en ny användare (T1136.001) och lägger till användaren till den lokala administratörsgruppen som är enkel att upptäcka från händelser som har skapats av processen.

norm_id=WinServer label="Process" label=Create
command IN ["*net* user /add *", "*net* localgroup administrators */add*"]

Conti är känd för att inaktivera Microsoft Defender (T1562.001) innan Cobalt Strike driftsätts, vilket är enkelt att upptäcka med hjälp av loggar från Defenders händelsekanal.

norm_id=WinServer event_source="Microsoft-Windows-Windows Defender" event_id=5001

För laterala rörelser laddar Conti först upp DLL-nyttoasten på ADMIN$-andelar (T1021.002) av slutpunkter och utför senare nyttolasten med PsExec (T1570).

norm_id=WinServer label="Process" label=Create
command="*cmd* /c copy *.DLL *\ADMIN$"
norm_id=WinServer label="Process" label=Create
command="* -accepteula *" command="*rundll32*.DLL,*"

Conti möjliggör även RDP-anslutningar (T1021.001) i slutpunkter med antingen netsh eller via direkta registermanipuleringar (T1112), som vi kan söka efter processkapande händelser.

norm_id=WinServer label="Process" label=Create
command IN ["*netsh *firewall *remote desktop* enable*", "*reg add *\Terminal Server* fDenyTSConnections*0x0*"]

Conti använder det molnbaserade lagringsverktyget RClone med öppen källkod, precis som Egregor och FiveHands, för att exfiltrera data till angriparens molnlagring (T1567.002). Det gör det enkelt att upptäcka från Sysmons processkapande händelser.

norm_id=WindowsSysmon label="Process" label=Create
description="Rsync for cloud storage"

Administratörer bör också leta efter otillåtna Atera-agentinstallationer, vilket har setts i de senaste Conti-incidenterna.

norm_id=WinServer label=Install label=Application
application=AteraAgent

Loggkällor

LogPoint-användare behöver följande loggkällor för att kunna köra ovannämnda frågesatser:

  • Windows Process Creation
  • Windows Software Installation
  • Microsoft Defender
  • Sysmon Process Creation
  • Sysmon File Creation
  • Brandvägg/Proxyserver

Det är mycket viktigt att ställa in detektering på djupet för att upptäcka ransomware

Precis som sin föregångare är Conti-ransomware fortfarande en av de mest aktiva med ett svindlande antal offer. Liksom andra ransomware-aktörer använder de vanliga verktyg, både kommersiella och offentliga, för att nå sina mål. I dagens hotlandskap med angripare som utnyttjar olika manövrar där de verkar passa för att på så vis undkomma sköra detekteringar som skapats av Blue Teams – att bara förlita sig på ett litet antal detekteringar är en naiv metod.

Det är helt enkelt nödvändigt att etablera en noggrann försvarsstrategi. Detta är avgörande för att upptäcka nya hot som ransomware som använder vanliga verktyg ”med en twist” för att uppnå sina mål.

Kontakta LogPoint

Kontakta oss och ta reda på varför ledande varumärken väljer LogPoint:

Kom i kontakt med oss

Läs mer om LogPoint

Boka en LogPoint-demo
Kundfall
Kundrecensioner