
Emotet -> Cobalt Strike -> Human Exploitation -> (no ADMIN$ share) -> Kerberoast -> vCenter ESXi with log4shell scan for vCenter
微步情报局一直保持对该事件中的攻击链各环节进行密切追踪和分析,我们的监测分析结果如下:
-
2021.09.01 分析发表“Conti 连环攻击后,作战手册泄露”报告
-
2021.12.10 分析发表“史诗级Log4j漏洞已引起大规模入侵”报告
-
2021.12.14 分析发表“Emotet木马\”卷土重来\”,诸多政企中招,或将有更大动作?”报告
-
2021.12.21 捕捉“Conti勒索组织拥有完整的Log4Shell攻击链”活动
2.1从医疗到金融、从北美到东南亚
2021年12月,印尼央行遭受到勒索软件攻击,该行于1月20号公开证实,但未将其直接归到任何黑客团伙身上。不过攻击者却非常高调,Conti 在数据泄露网站上主动承认此次攻击行动,称已将印尼银行添加到受害者名单列表,并贴出了此次攻击窃取到的13.88G的数据截图。

2.2 Log4j2 武器化
在此次分析的事件中,Conti 采用新的攻击链采取以下形式:

遍历该攻击链:
1. Emotet:是一个僵尸网络,2021年12月再次全球范围内爆发,国内不少政企客户也受到该事件影响,相关企业被大范围攻击,邮箱账号密码泄露,大量敏感信息泄露,后果严重。
2. Cobalt Strike:是一款商用、功能齐全的远程访问工具,自称是“旨在执行有针对性的攻击并模拟高级威胁参与者的模拟软件”。
3. Human Exploitation:描述了攻击者探查网络、寻找关键数据、分析网络结构、定义最重要的网络共享以及寻找提升权限的方法等攻击的阶段,参考前期批露的行动手册。
4. no ADMIN$ share:远程主机共享。
5. Kerberoast:Kerberoasting 是一种常见的域控攻击,它利用弱加密和服务帐户密码的组合,从 Active Directory 中提取服务帐户凭据哈希以进行脱机破解。
6. VMWare vCenter 服务器:截至2021年12月15日星期三,Conti 一直在寻找易受 Log4Shell 攻击的 VMWare 网络,以进行初始访问和横向移动。
Log4Shell 是基于 Java 的日志库漏洞,其在漏洞库中评分最高:10.0 CRITICAL。允许在易受攻击的机器上直接远程执行代码。目前多种产品运行 Log4j2 库,包括流行的 vCenter、Kafka、Elastic 和 Minecraft,为攻击者提供了攻击面。

根据微步自有蜜罐近一周捕捉到得 Log4j2 漏洞利用就有1w+次。
-
2021年11月1日 – Conti 开始寻找新的攻击向量
-
2021年11月14日 – 使用 Emotet – CobaltStrike 进行攻击
-
2021年11月19日 – Conti 重新设计其基础设施以实现新的扩张
-
2021年11月25日 – 发布新的 Conti Payload
-
2021年12月 6 日 – 推进僵尸网络模块的研发工作
-
2021年12月12日 – Conti 将 Log4Shell 确定为一种新的攻击方式
-
2021年12月13日 – 初始访问的扫描活动
-
2021年12月15日 – 针对横向移动的 vCenter 网络
公众号内回复“CL”,可获取完整版PDF 版报告
关于微步在线研究响应中心
内容转载与引用
最新评论
Thanks for your blog, nice to read. Do not stop.
1
1
你图片显示不了
你的网站怎么注册啊