SOPHOS研究报告发现：Conti 勒索软体加上 ProxyShell：网路攻击的完美风暴

如您所知/可能知道，Conti 勒索软体集团和 ProxyShell 漏洞目前都是主流的威胁。不幸的是，Sophos 有证据表明 Conti 正在利用 Proxyshell，这在 SophosLabs Uncut 和 Sophos News SecOps 上发布的随附报告中有详细说明。

根据 Sophos 威胁研究人员的说法，由于以勒索软体即服务 (RaaS) 模式运作的 DarkSide、REvil 和 Avaddon 等三个集团解散，Conti 勒索软体目前又非常活跃了。那些集团已经被解散的相关组织正在寻找新的营运者，Sophos 怀疑是 Conti，因为 Sophos 威胁研究人员最近看到它的大量活动。目前另一个值得「高度警戒」威胁是 ProxyShell，一种进化版的 ProxyLogon 攻击。ProxyShell 很容易被利用，亦是当前攻击者剧本中的要角，包括那些部署 LockFile 勒索软体的剧本。 

现在，Conti 加入战局了。 

Sophos 事件回应主管 Peter Mackenzie 表示：「Sophos 已确认 Conti 勒索软体攻击者正在利用 ProxyShell。在 Sophos 文章《Conti 相关组织在勒索软体攻击中利用 Microsoft Exchange 漏洞》中，我们详细说明攻击是如何发生的，帮助防御人员知道应该在系统上注意哪些警讯。我们解释了 Conti 使用的工具、横向移动、资料是如何被外泄和加密，以及如何防御的技巧，包括使用 Exchange Server 的企业应尽快更新和修补伺服器的紧急建议。

「我们还想强调攻击发生的速度。与典型攻击者在散播勒索软体之前会先停留数月或数周之久相反，Conti 攻击者不用一分钟就会取得对目标网路的使用权限。三分钟后，攻击者安装了第二个备份 web shell，我们怀疑新增备份的目的是防止受害者发现前一个。在 30 分钟内，他们就会建立一份网路电脑、网域控制站和网域系统管理员的完整列表。仅仅四小时后，Conti 攻击者就取得网域系统管理员帐户的凭证并开始执行命令。在初次获得使用权限后的 48 小时内，攻击者已经外泄了大约 1 TB 的资料。五天后，他们将 Conti 勒索软体部署到网路上的每台电脑，尤其针对它们的网路共用区。在入侵过程中，攻击者在网路上安装了一个不常见的后门：两个 web shell、Cobalt Strike 和四个商用远端存取工具 (AnyDesk、Atera、Splashtop 和 Remote Utilities)。web shell 主要是用于初始存取，Cobalt Strike 和 AnyDesk 则是其馀攻击的主要工具。这种作法迅速而高效率，因此安装修补程式绝对是不可或缺的。」

防御人员应修补和部署预防性安全措施，包括反勒索软体以及行为和机器学习技术侦测，以防御 Conti 和其他勒索软体。 

文章来源：http://n.yam.com/Article/20210906698928