Conti PlayBook 英訳版:ランサムウェアの手口が明らかに

Translated Conti ransomware playbook gives insight into attacks

2021/09/02 BleepingComputer — Conti グループの攻撃 PlayBook が流出してから1ヶ月ほどが経ったが、(ロシア語からの) 自動翻訳による誤訳を解消するために、セキュリティ研究者たちが翻訳版を公開してくれた。この PlayBook は、Conti におけるランサムウェア攻撃の方法や、徹底した指示に関する情報を提供するだけではなく、スキルの低いアクターであっても、Conti ランサムウェアのアフィリエイトになれば、貴重なターゲットを攻撃できるようになっている。

必要なスキルが少ない

Cisco Talos の研究者たちに協力する言語学者が、流出した資料に目を通し、ギャングのテクニック/ツールを正確に説明する、分かりやすい英語版を提供してくれた。資料に記載されている攻撃シナリオは極めて綿密であり、素人でも破壊的なランサムウェア攻撃を実行できると、研究者たちは述べている。

このマニュアルに記載されているヒントには、被害者のネットワークに侵入した後に、コマンドやツールを用いてユーザー (特に Active Directory にアクセス可能なユーザー) をリストアップし、管理者権限を取得する方法も含まれている。また、LinkedIn などの SNS をチェックし、特権的なアクセス権を持つ従業員を特定するといった、シンプルな偵察方法についても詳しく説明されており、欧米の企業では、このテクニックが有効であると記している。

ツールとテクニック

今回の流出した資料に記載されているツールは、レッド・チーム・フレームワーク Cobalt Strike であり、クラックされた Ver 4.3 が添付されている。使用方法には、ZeroLogon の脆弱性 (CVE-2020-1472) を悪用することも書かれている。Conti ランサムウェアの PlayBook で言及されている、その他の重要な脆弱性としては、PrintNightmare (CVE-2021-1675 CVE-2021-34527) と EternalBlue (CVE-2017-0143/0148) がある。

Conti が詳述したツールの中には、Cisco の研究者たちが、インシデント対応の際に通常目にするものとは異なるものもある。

・Armitage – Metasploit ペンテスト・プラットフォームの Java GUI
・SharpView – PowerShell ベースの PowerSploit 攻撃ツールキットの .NET版
・SharpChrome – Chrome のログイン/クッキーを復号化するツール
・SeatBelt – OS バージョン/UAC ポリシー/ユーザー・フォルダなどを収集

流出したドキュメントに記載される、その他のツールやコマンドライン・ユーティリティには、以下のようなものがある。

・ADFind – Active Directory のクエリー・ツール
・PowerShell Framework – Windows Defender を無効にするツール
・GMER – セキュリティ・ソリューションを特定/無効にするための代替手段
・SMBAutoBrute – ドメイン上のアカウントをブルートフォースするツール
・Kerberoasting – ブルートフォースでKerberos パスワード・ハッシュを解読
・Mimikatz – メモリからパスワードをダンプするツール
・RouterScan – ネットワーク上のデバイスを発見し、パスワードを抽出するツール
・AnyDesk – APT のためのリモートデスクトップ・アプリケーション
・Atera – 別のリモートアクセス・ソフトウェア

窃取のパートに移る前に、オープンソースの情報を探し出し、被害者の収入について知るよう、アフィリエイトは指示される。怒りに満ちた Conti のアフィリエイトからのリークには、主にロシア語で構成されるビデオ・チュートリアルも含まれており、PowerShell を使ったペンテストや、Active Directory への攻撃、Windowsドメインでのレバレッジ SQL Server の使い方などが説明されている。なお、アフィリエイト用のビデオ・チュートリアル (Metasploit、PowerShell、WMI の攻防、ネットワーク・ペンテスト) の多くは、オンラインで容易に入手できる、様々な攻撃的セキュリティ・リソースからのものだ。

Cisco Talos の研究者たちは、流出した Conti ドキュメントの翻訳版について、他の研究者が脅威主体の TTP を理解するのに役立つだけでなく、このドキュメントに触発される可能性のある研究者にも役立つと考えているようだ。Cisco 研究者は、翻訳された個々のテキストを、ZIP アーカイブPDF ファイルで提供している。また、資料の概要は Fortinet からも提供されている。

先日に、「Conti ランサムウェアが内部分裂:怒りのアフィリエイトが PlayBook を暴露した」という記事があったので、その続報を心待ちにしていましたが、PlayBook 自体の翻訳版が出たようです。この記事を眺めるだけでも、一定の知識があれば、誰でもランサムウェア実行犯になれると思えてきます。本文の PDF リンクから、Conti PlayBook の英語版が DL できます。また、Fortinet のリンクからは、きれいに整理されたサマリーが参照できます。

%d bloggers like this: