Conti勒索软件帝国竟然是建立在令人惊讶的低技术攻击方法和技术之上。
Akamai Technologies公司的安全研究人员深入研究了这个臭名昭著的勒索软件组织最近泄露的手册和培训材料,他发现,总的来说,Conti黑客并没有利用尖端的漏洞利用和黑客技术。
相反,研究人员发现,与Conti集团签约的黑客正在使用经过验证的黑客技术,试图接管其目标网络中的单个用户帐户,然后使用这些被盗的凭据进行横向移动。
Akamai公司安全研究员Stiv Kupchik在周二的博客文章中解释道:“Conti的攻击方法并不新颖。使用有效的工具和持续性似乎就可以成功发起攻击。”
“该过程似乎主要通过‘敲击键盘’完成-而某些功能可以脚本化或自动化,操作者通常只需要窃取凭据并对在网络中传播做出有意识的决定即可。”
Akamai研究人员发现,Conti网络更多地依靠其黑客成员的辛勤工作,而不是任何类型的技术魔法。该组织似乎几乎完全依赖售后市场渗透测试工具,例如Cobalt Strike、Mimikatz和PsExec,而内部创建的武器库很少。
Kupchik解释说:“为了实现他们的网络渗透和传播目标,Conti利用各种工具,其中大多数不是Conti自己制造的。事实上,只有加密器、木马和注入器似乎是专有的,而对于横向移动、传播和渗漏,Conti似乎使用了大量红蓝团队的所有人都应该熟悉的工具。”
尽管该组织可能没有利用最独特的工具或技术,但Conti的行动已经证明,对于其操作人员和签约黑客来说,这是极其有利可图的,这些人主要做基础工作,为感染机器和窃取数据以用于Conti的勒索要求。
该组织如此有效的原因之一是它致力于让黑客深入目标网络,而不被发现。Akamai说,Conti黑客倾向于通过横向移动将自己深藏在网络中,使用受感染的帐户访问其他帐户的凭据并接管多个系统。
该策略的最终目标是获得对目标域控制器 (DC) 的访问权,并获得管理员帐户,以便掌握整个网络域。一旦完成,攻击者才会开始加密数据,并宣布掌控目标公司。
Kupchik解释说:“操作人员被指示通过上述窃取凭据和扩展的过程前往DC。由于这个过程似乎很大程度上是手动的,这使得Conti操作人员在选择目标时有一定程度的自行决定权。”
不幸的是,这对网络防御者来说是个坏消息。由于没有特定的漏洞利用或独特的方法侵入网络,Conti黑客不容易防御;Akamai表示,防止入侵需要多方面的努力。
Kupchik称:“没有一种解决方案可以让你立即安全可靠。正如我们在攻击方法中看到的那样,在部署第一个勒索软件实例之前有一个复杂的过程,这为我们提供了充足的机会来检测和响应攻击。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
10款API安全测试工具帮助降低风险
API是现代应用程序架构的核心。然而,由于其重要性以及提供数据和资源访问的能力,它们经常成为攻击者的目标。 A […]
-
如何防止DDoS攻击
分布式拒绝服务(DDoS)攻击,尽管广为人知,但仍然是恶意行为者用来对企业造成财务和声誉损害的常见的方法。 然 […]
-
API安全成熟度模型用于评估API安全态势
随着企业使用的API数量不断增加,保护这些代码位比以往任何时候都更加重要,它们使软件能够通信。为此,团队必须审 […]
-
CrowdStrike:内容验证漏洞导致全球中断
CrowdStrike周三表示,该网络安全供应商内容验证系统中的漏洞是导致上周五全球中断的的原因。 上周五,C […]