REvil組織再作惡,利用Kaseya 0day發(fā)起大規(guī)模供應(yīng)鏈攻擊
責(zé)編:gltian |2021-07-08 11:02:21摘要
2021年7月2日,總部位于邁阿密的 Kaseya 公司發(fā)布聲明,確認(rèn)其下產(chǎn)品 KASEYA VSA 軟件存在漏洞,已被 REvil 黑客勒索組織利用攻擊,目前已經(jīng)關(guān)閉了其 SaaS 服務(wù)器,并且建議所有客戶關(guān)閉 VSA 服務(wù)器。Kaseya 為托管服務(wù)提供商(MSP)提供遠(yuǎn)程管理軟件服務(wù),已知受影響的托管服務(wù)提供商包括 Synnex Corp. 和 Avtex LLC,由于 MSP 提供商的客戶分布全球,導(dǎo)致此次事件影響范圍頗廣,目前瑞典最大連鎖超市之一的 Coop 受此次供應(yīng)鏈勒索攻擊事件影響被迫關(guān)閉全國(guó)約500家商店服務(wù)。
事件分析
2.1 供應(yīng)鏈源頭分析
Kaseya 公司是一家深受 MSP 歡迎的遠(yuǎn)程管理提供商,提供自動(dòng)化軟件和遠(yuǎn)程管理軟件,該公司宣稱擁有超40,000的用戶,其下產(chǎn)品 Kaseya VSA 是一款遠(yuǎn)程監(jiān)控和管理軟件工具,是 MSP 常用的解決方案之一,可以幫助管理客戶端系統(tǒng),并且具有客戶端系統(tǒng)的管理員權(quán)限。根據(jù)該公司的公告猜測(cè),此次攻擊的最初入口是 VSA 中的 0day 漏洞,但目前尚未透露出關(guān)于該漏洞的詳細(xì)信息,入侵后通過(guò)下發(fā)惡意軟件更新服務(wù),利用管理員權(quán)限感染了裝有 VSA 的 MSP 服務(wù)商,而 MSP 又向其下游客戶提供服務(wù)訪問(wèn)權(quán)限,導(dǎo)致此次 REvil 勒索病毒擴(kuò)散的如此猛烈,即使沒(méi)有安裝 VSA 軟件的客戶也有被感染勒索病毒的可能,例如瑞典最大連鎖超市之一的 Coop 由于其銷售終端供應(yīng)商使用 Kaseya 管理服務(wù)導(dǎo)致約500家商店被迫關(guān)閉。
當(dāng)前 Kaseya 官網(wǎng)對(duì)該事件進(jìn)行了實(shí)時(shí)報(bào)道,并與相關(guān)計(jì)算機(jī)事件響應(yīng)公司積極配合,其對(duì)外宣布已正確識(shí)別并緩解了漏洞,將在今晚晚些時(shí)候向 Kaseya VSA 客戶提供入侵檢測(cè)工具。
此次供應(yīng)鏈攻擊也是 Kaseya 產(chǎn)品第3次被用于部署勒索軟件事件,2019年2月,Gandcrab 勒索軟件團(tuán)伙利用 ConnectWise Manage 軟件的 Kaseya 插件中的漏洞,在 MSP 的客戶網(wǎng)絡(luò)上部署勒索軟件。2019年6月,REvil 勒索軟件團(tuán)伙利用暴露的 RDP 服務(wù),通過(guò) Webroot SecureAnywhere 和 Kaseya VSA 產(chǎn)品對(duì) MSP 發(fā)起了攻擊,將勒索軟件從 MSP 部署到他們的客戶網(wǎng)絡(luò)。
2. 攻擊流程
根據(jù)現(xiàn)有情報(bào),可以總結(jié)出 REvil 組織總體的攻擊流程,首先通過(guò) Kaseya VSA 中的零日漏洞進(jìn)行入侵,隨后立即停止管理員對(duì) VSA 的訪問(wèn),然后添加一個(gè)名為 “Kaseya VSA Agent Hot-fix” 的任務(wù),該虛假惡意更新會(huì)部署到整個(gè)攻擊環(huán)節(jié)中,包括在擁有 MSP 客戶端的客戶系統(tǒng)中,利用虛假惡意更新投遞 REvil 勒索軟件,該更新利用高權(quán)限進(jìn)行自動(dòng)安裝,通過(guò)白加黑手法解密 REvile 勒索軟件實(shí)施加密。
樣本分析
原始樣本采用無(wú)效簽名進(jìn)行偽裝。
原始樣本解密資源釋放 MsMpEng.exe 和 mpsvc.dll 文件到 C:\\Windows 目錄。
通過(guò)白加黑啟動(dòng)加載惡意 dll 文件。
對(duì)其惡意 dll 進(jìn)行分析,其導(dǎo)出函數(shù) ServiceCrtMain 通過(guò)線程進(jìn)行惡意代碼解密。
代碼采用 OpenSSL 開(kāi)源代碼解密 shellcode。
執(zhí)行 shellcode 代碼,解密勒索軟件 REvil 代碼本體執(zhí)行。
其惡意代碼本體如下:
配置文件及其配置文件功能:
| 字段 | 描述 |
| pk | Base64 編碼的公鑰 |
| pid | 標(biāo)識(shí)該客戶的唯一值 |
| sub | 標(biāo)識(shí)該程序運(yùn)行的唯一值 |
| dbg | 標(biāo)識(shí)是否檢測(cè)鍵盤布局、系統(tǒng)語(yǔ)言和區(qū)域信息 |
| et | 標(biāo)識(shí)使用的加密類型: 0 – 加密所有數(shù)據(jù);1 – 只加密第 1MB 的數(shù)據(jù);2 – ?先加密 1MB,然后根據(jù)指定的 spsize 字段決定路過(guò)指定的 MB 數(shù)。 |
| spsize | 當(dāng) et 的值為2時(shí),加密要跳過(guò)的 MB 數(shù) |
| wipe | 未使用 |
| wfld | 未使用 |
| wht | 包含3個(gè)白名單列表,分別為白名單目錄,白名單文件和白名單拓展名 |
| prc | 要結(jié)束的進(jìn)程列表 |
| dmn | C2 域名列表,使用”;”進(jìn)行分隔 |
| net | 標(biāo)識(shí)是否向 C2 發(fā)送信息 |
| svc | 標(biāo)識(shí)要結(jié)束或刪除的服務(wù)列表 |
| nbody | 使用 Base64 編碼后的勒索信息 |
| nname | 勒索信息的文件名 |
| exp | 標(biāo)識(shí)是否嘗試使用管理員權(quán)限運(yùn)行 |
| img | 使用 Base64 編碼后的文本,用于添加到用戶的桌面背景,提醒用戶文件被加密 |
| arn | 標(biāo)識(shí)是否通過(guò)修改注冊(cè)表的方式實(shí)現(xiàn)自啟動(dòng) |
| rdmcnt | 標(biāo)識(shí)勒索信息中顯示的最大目錄數(shù),如果為0,則顯示全部目錄 |
3. 檢測(cè)方案
根據(jù)已知情報(bào),除了對(duì) REvil 勒索軟件進(jìn)行進(jìn)行流量和 yara 規(guī)則檢測(cè)以外,還可以根據(jù)是否包含以下可疑命令行和可疑注冊(cè)表項(xiàng)進(jìn)行檢測(cè):
'C:\Windows\cert.exe' 'Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled' 'del /q /f c:\kworking\agent.crt' 'Kaseya VSA Agent Hot-fix' '\AppData\Local\Temp\MsMpEng.exe' 'HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\BlackLivesMatter'
總結(jié)與思考
目前該供應(yīng)鏈攻擊事件暫未透露出更多攻擊細(xì)節(jié),但造成的影響范圍頗大,目前已經(jīng)超過(guò)200家公司受到此次事件的影響。波及的原因主要還是由于 MSP 的客戶群體過(guò)大,一旦 MSP 被攻擊,如果開(kāi)放權(quán)限過(guò)高,必然導(dǎo)致下游客戶受到波及。此次攻擊事件也不是 REvil 勒索軟件組織第一次針對(duì) MSP 攻擊,早在2019年6月,REvil 勒索組織就已經(jīng)將 MSP 提供商放到他們的攻擊目標(biāo)列表中。
近年來(lái),關(guān)于 REvil 勒索軟件組織的攻擊事件頻頻發(fā)生,包括美國(guó)東海岸主要輸油/管道公司 Colonial Pipeline、全球食品分銷商 JBS Foods、美國(guó)核武器開(kāi)發(fā)合作商 Sol Oriens 等多家公司被勒索攻擊,其攻擊足跡遍布各行各業(yè),公布出來(lái)的受害者數(shù)量高達(dá)273家,”戰(zhàn)績(jī)”頗豐。而 REvil 勒索軟件只是作為萬(wàn)千勒索家族中的一員,就已經(jīng)造成如此大的破壞,那么對(duì)于整個(gè)勒索行業(yè)的攻擊趨勢(shì)將不容樂(lè)觀,企業(yè)安全防御壓力也是隨之劇增,面對(duì)越發(fā)頻繁的攻擊趨勢(shì),企業(yè)安全不能純粹依靠傳統(tǒng)安全軟件進(jìn)行防護(hù)和備份文件恢復(fù),重點(diǎn)在于防御并非事后處置。需要加強(qiáng)縱深防御和建立快速應(yīng)急響應(yīng)機(jī)制與團(tuán)隊(duì),針對(duì)不同業(yè)務(wù)線、網(wǎng)絡(luò)、設(shè)備制定不同防護(hù)策略,加強(qiáng)邊界防御管理能力,保證安全響應(yīng)流暢性。
處置建議
使用微步在線相關(guān)產(chǎn)品的客戶,請(qǐng)關(guān)注相關(guān)產(chǎn)品是否存在名為 “REvil” 或者 “Sodinokibi” 的告警,如果出現(xiàn),請(qǐng)高優(yōu)先級(jí)進(jìn)行處置。
排查企業(yè)郵箱/個(gè)人郵箱賬中是否收到過(guò)可疑郵件,并通過(guò)相關(guān)情報(bào)信息進(jìn)行自查;
如發(fā)現(xiàn)部分員工存在賬密被盜情況,需及時(shí)修改密碼,并進(jìn)一步核實(shí)該郵箱是否出現(xiàn)過(guò)異常登陸及其他惡意行為。加強(qiáng)內(nèi)部人員安全意識(shí)培訓(xùn),勿輕信可疑郵件中包含的可疑鏈接;
定期更換賬號(hào)密碼,保證密碼長(zhǎng)度與復(fù)雜度,不同系統(tǒng)賬號(hào)盡量使用不同密碼,對(duì)于重要業(yè)務(wù)平臺(tái)使用多重身份驗(yàn)證,建立零信任模型;
設(shè)置重要資料共享訪問(wèn)權(quán)限,定期備份關(guān)鍵系統(tǒng)和資料;
定期清點(diǎn)公司資產(chǎn),正確配置相關(guān)安全產(chǎn)品,對(duì)可疑告警進(jìn)行及時(shí)處理,并檢查軟件和系統(tǒng)漏洞,及時(shí)更新安全補(bǔ)丁;
使用正規(guī)渠道下載安裝軟件,禁止打開(kāi)不明渠道共享文件。
來(lái)源:FreeBuf.COM
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!