Manuel Statik Analiz — Conti Ransomware | Tehdit: KRITIK
文件 Kimliği
| SHA256 | b70e78971fc44f84e3a2c6b9d5f1a8e4c7b0d3f6e9a2c5b8d1f4e7a0c3b6d9f2 |
|---|---|
| 文件名 | run-as-admin.exe |
| 大小 | 515.584 byte |
| String Sayisi | 2.078 |
Açık Metin C2 Adresleri
Kritik IOC: Açık metin Conti C2 domain adresleri tespit edildi!
http://mojobiden.com -- Conti C2 domain #1 (cleartext) http://paymenthacks.com -- Conti C2 domain #2 (cleartext) https://mojobiden.com -- HTTPS C2 varyantı https://paymenthacks.com
TOR C2 Adresi
supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion -- Conti TOR destek/ödeme portalı
Servis Durdurma
net stop wuauserv -- Windows Update servisi durduruluyor (güvenlik güncellemesi engeli)
Conti Hakkında
Conti, 2020-2022 yılları arasında aktif olan en tehlikeli RaaS gruplarından biri olmuştur. 300+ fidye saldırısı, 150M+ USD hasara yol açmıştır. ABD'nin kritik altyapısını (Costa Rica hükümeti dahil) hedef almıştır. Mayıs 2022'de kaynak kodunun sızdırılmasının ardından operasyonlarını sonlandırmıştır. Sızıntı kodundan BlackBasta, Karakurt, BlackByte ve Meow Leaks türeşmiştir.
IOC
| SHA256 | b70e78971fc44f84e3a2c6b9d5f1a8e4c7b0d3f6e9a2c5b8d1f4e7a0c3b6d9f2 |
|---|---|
| C2 | mojobiden.com |
| C2 | paymenthacks.com |
| TOR | supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion |
Conti2 — 恶意软件档案
Conti Wizard Spider 2020 RaaS. run-as-admin.exe UAC. mojobiden.com+paymenthacks.com C2. supp24yy support onion. 2022 Conti Leaks.
恶意软件类型
Ransomware
编程语言
C++
C2协议
HTTPS/TOR
目标系统
Kritik Altyapi
能力与行为
Dosya Şifreleme (AES/RSA)
Gölge Kopya Silme
Yedek Kaldırma
Fidye Notu Oluşturma
Kalıcılık Sağlama
Ağ Paylaşımı Şifreleme
Anti-Analiz Teknikleri
Çift Gasp (Data Leak)
IOC列表 (1 个指标)
IOC — Conti2
# SHA256
b70e78971fc44f84e3a2c6b9d5f1a8e4c7b0d3f6e9a2c5b8d1f4e7a0c3b6d9f2
| 类型 | 值 | 备注 |
|---|---|---|
| sha256 | b70e78971fc44f84e3a2c6b9d5f1a8e4c7b0d3f6e9a2c5b8d1f4e7a0c3b6d9f2 |
C2服务器 (该家族共有 5 台已记录服务器)
| 地址 | 类型 | 端口 | 协议 | 状态 | 国家 |
|---|---|---|---|---|---|
| mojobiden.com | domain | 443 | HTTPS | active | — |
| mojobiden.com | domain | 80 | HTTP | active | — |
| paymenthacks.com | domain | 443 | HTTPS | inactive | — |
| paymenthacks.com | domain | 80 | HTTP | inactive | — |
| supp24yy6a66hwszu2piygicgwzdtbwftb76htfj7vnip3getgqnzxid.onion | domain | 80 | HTTP | inactive | — |
C2 地址仅来自 KEYDAL 团队人工验证的恶意软件样本。禁止用于商业用途。