当前位置：首页 > news >正文

透视俄乌网络战之二：Conti勒索软件集团（下）

news 2026/3/28 4:54:01

透视俄乌网络战之一：数据擦除软件
透视俄乌网络战之二：Conti勒索软件集团（上）

Conti勒索软件集团（下）

- 1. 管理面板源代码
- 2. Pony凭证窃取恶意软件
- 3. TTPs
- 4. Conti Locker v2源代码
- 5. Conti团伙培训材料
- 6. TrickBot泄露

2022年2月27日，Twitter账号@ContiLeaks发布了勒索软件组织Conti的大量聊天记录后，3月1日，ContiLeaks又泄露了Conti的大量源代码及培训资料。

在这里插入图片描述

1. 管理面板源代码

分析泄露内容发现，Conti团伙使用的大部分代码来自开源软件，如PHP框架yii2、Kohana两个，被用于构建管理面板。

在这里插入图片描述

代码大部分是用PHP编写的，由Composer管理，唯一例外的是一个用Go编写的工具的存储库。存储库还包含一些配置文件，其中列出了本地数据库用户名和密码，以及一些公共IP地址。

2. Pony凭证窃取恶意软件

Conti Pony Leak 2016.7z文件主要是电子邮件账号密码库，包括gmail.com、mail.ru、yahoo.com等邮件服务商。很明显，这是由Pony凭证窃取恶意软件从各种来源盗窃来的。Pony的历史至少可以追溯到2018年，是诈骗分子们最喜爱的凭证盗窃软件之一。

压缩包内还包含来自FTP/RDP、SSH服务以及其他多个不同网站的凭证。

3. TTPs

TTPs: Tactics, Techniques and Procedures

Conti Rocket Chat Leaks.7z中包含Conti团伙成员关于攻击目标、攻击手段，以及运用Cobalt Strike实施攻击的聊天记录。

tactics, techniques and procedures

Conti团伙成员们在交谈中提到过以下攻击技术：

Active Directory枚举
通过sqlcmd进行SQL数据库枚举
如何访问Shadow Protect SPX（StorageCraft）备份
如何创建NTDS转储与vssadmin
如何打开新RDP端口1350

涉及以下工具：

Cobalt Strike
Metasploit
PowerView
ShareFinder
AnyDesk
Mimikatz

4. Conti Locker v2源代码

此次泄漏文件还包含Conti Locker v2源代码以及一个解密器源代码。但有推特网友称，这款解密器已经没法使用。
在这里插入图片描述

解密器的工作原理有点像解压缩有密码保护的文件，只是过程更复杂，因为它们因勒索软件家族而异。有些解密器被内置到一个独立的二进制文件中，有些可以远程启用，它们通常都有内置的钥匙。

5. Conti团伙培训材料

此次泄露文件还有培训材料，有俄语在线课程视频及以下TTPs清单的具体操作方法：

破解/Cracking
Metasploit
网络渗透
Cobalt Strike
使用PowerShell进行渗透
Windows红队攻击
WMI攻击（与防御）
SQL Server
Active Directory
逆向工程

Conti的培训课程：CyberArk

在这里插入图片描述

6. TrickBot泄露

另一个泄露文件是TrickBot木马/恶意软件使用的论坛聊天记录，内容涵盖2019-2021。

其中，大多数内容是在讨论如何实现网络横向移动、如何使用某些工具，以及一些关于TrickBot和Conti团伙的TTPs信息。例如，在一封帖子中，某位成员分享了他的webshell，并表示“这是我用过的最轻量级、最耐用的webshell”。此外，还包含2021年7月上旬Conti团伙利用Zerologon等漏洞的证据。这并不奇怪，毕竟从2020年9月开始，GitHub上先后出现过4个针对此漏洞的PoC，以及大量漏洞技术细节。

其他泄露内容还包括用Erlang编写的服务器端组件：trickbot-command-dispatcher-backend、trickbot-data-collector-backend，被称为lero与dero。

在这里插入图片描述

代码泄露是一把双刃剑，从防御的角度看，这会帮助研究人员更好地了解TrickBot工作原理，进而采取更可靠的防御手段;但另一方面，这些源代码也将流入其他恶意软件开发者手中，指导他们开发出更多甚至更好的类似TrickBot的恶意软件。

参考

[1] Conti Ransomware Decryptor, TrickBot Source Code Leaked
[2] Conti Ransomware Group Internal Chats Leaked Over Russia-Ukraine Conflict

透视俄乌网络战之二：Conti勒索软件集团（下）

Conti勒索软件集团（下）

1. 管理面板源代码

2. Pony凭证窃取恶意软件

3. TTPs

4. Conti Locker v2源代码

5. Conti团伙培训材料

6. TrickBot泄露

相关文章：

透视俄乌网络战之二：Conti勒索软件集团（下）

网络安全深入学习第一课——热门框架漏洞（RCE-命令执行）

应用在电子体温计中的国产温度传感芯片

JVM 虚拟机 ----＞ Java 内存模型（JMM）

指针-字符串替换

docker 网络（单机环境）

14、二叉树的morris遍历等

BeanFactory与ApplicationContext

【计算机网络】粘包问题

valgrind massif 详解（内存分配释放分析）

使用命令行创建一个vue项目卡住不动如何解决

七天学会C语言-第一天（C语言基本语句）

vue项目部署，出现两个ip的原因

无涯教程-JavaScript - ASIN函数

MYSQL的SQL优化

lintcode 553 · 炸弹袭击【中等数组+bfs+模拟】

第一章计算机系统概述八、虚拟机

桶装水送水多水站送水员公众号h5开发

【JavaEE】多线程（二）

OkHttp 根据服务器返回的的过期时间设置缓存

OpenClaw调试技巧：QwQ-32B任务失败的根本原因分析

为什么很多人学 Django 会懵？因为没搞懂 MVC 和 MTV 的真正区别

ChromePass终极指南：浏览器密码提取与安全管理完全攻略

嵌入式pRNG：基于WDT与LFSR的轻量级硬件熵随机数生成器

Arduino激光360°扫描库：VL53L0X+28BYJ-48低成本建图方案

s2-pro快速上手指南：3步完成文本转语音与音色迁移实操手册

零基础入门：用eNSP搭建USG5500防火墙IPsec虚拟专用网实验环境

别再死记硬背了！用这3个真实项目案例，帮你彻底搞懂软件工程导论里的核心概念

夺回社交主动权：iBeebo如何让微博回归纯粹体验

探索：空间网格编码SpatialGridCoding在北斗导航与地理实体管理中的应用