Conti Ransomware
Some employees from your company reported that they can’t log into Outlook. The Exchange system admin also reported that he can’t log in to the Exchange Admin Center. After initial triage, they discovered some weird readme files settled on the Exchange server.
Below is a copy of the ransomware note.
Warning: Do NOT attempt to visit and/or interact with any URLs displayed in the ransom note.
Below are the error messages that the Exchange admin and employees see when they try to access anything related to Exchange or Outlook.
Exchange Control Panel: 
Outlook Web Access: 
Task: You are assigned to investigate this situation. Use Splunk to answer the questions below regarding the Conti ransomware.
Splunk Interface Credentials:
Username: bellybear
Password: password!!!
Splunk URL: http://MACHINE_IP:8000
Exchange Server Compromised
http://MACHINE_IP:8000 adresine gidelim ve verilen username password ile giriş yapalım.
Can you identify the location of the ransomware?
Command Prompt çalıştıran bütün dosyaları taradım. Documents klasöründe şüpheli bir dosya buldum.
1
2
3
*
| dedup Image
| table Image CommandLine
What is the Sysmon event ID for the related file creation event?
Dosyanın üstüne tıklayıp View Events’i seçiyoruz.
EventCode değerini kontrol ediyoruz.
Can you find the MD5 hash of the ransomware?
What file was saved to multiple folder locations?
EventCode=11 olan ve birden çok kez tekrarlanan dosyaları arattım.
1
2
index=main sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=11
| stats count by TargetFilename
What was the command the attacker used to add a new user to the compromised system?
Öncelikle add anahtar kelimesini arıyoruz ve kullanıcı eklemeyle ilgili herhangi bir olayın meydana gelip gelmediğini kontrol ediyoruz.
Securityninja isimli kullanıcıya ait bazı girişlerin bulunduğunu görebilir, logları incelediğimizde net komutunu kullanarak yeni bir kullanıcının eklendiği olayı buluyoruz.
The attacker migrated the process for better persistence. What is the migrated process image (executable), and what is the original process image (executable) when the attacker got on the system?
Bu teknik, kötü amaçlı yazılımlar tarafından kod enjekte etmek ve diğer işlemlere gizlenmek için kullanılır. Bu soruyu cevaplamak için, bir işlemin başka bir işlemde iş parçacığı oluşturduğunu algılayan Sysmon Event ID 8 Create Remote Thread’ı kullanabiliriz. Event ID 8’i filtrelemek için aşağıdaki aramayı kullandım:
1
2
index=main sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=8
| table SourceImage, TargetImage
powershell.exe tarafından bir unsecapp.exe işleminin oluşturulduğunu görebiliriz.
The attacker also retrieved the system hashes. What is the process image used for getting the system hashes?
unsecapp.exe dosyasının TargetImage’ine baktığımızda lsass.exe dosyasını görüyoruz.
lsass.exe (Local Security Authority Subsystem Service), Windows kimlik doğrulama mekanizmasını yönetir. Bu işlem, kullanıcıların oturum açmasını, şifrelerini değiştirmesini ve erişim belirteçlerini oluşturmasını sağlar.
What is the web shell the exploit deployed to the system?
Web shell almak için kullanılan dosya uzantılarını aradım.
1
2
index=* sourcetype="WinEventLog:Microsoft-Windows-Sysmon/Operational"
| search *.php* OR *.asp* OR *.aspx* OR *.jsp*
i3gfPctK1c2x.aspx
What is the command line that executed this web shell?
CommandLine: attrib.exe -r \\\\win-aoqkg2as2q7.bellybear.local\C$\Program Files\Microsoft\Exchange Server\V15\FrontEnd\HttpProxy\owa\auth\i3gfPctK1c2x.aspx
What three CVEs did this exploit leverage?
İnternette araştırdığımda conti grubunun yaptığı bu saldırıyı açıklayan bir blog sayfası buldum.
CVE-2020–0796,CVE-2018–13374,CVE-2018–13379