摘要
微步情报局监测发现,2021年7月2日,总部位于迈阿密的 Kaseya 公司发布声明,确认其下产品 KASEYA VSA 软件存在漏洞,已被 REvil 黑客勒索组织利用攻击,目前已经关闭了其 SaaS 服务器,并且建议所有客户关闭 VSA 服务器。Kaseya 为托管服务提供商(MSP)提供远程管理软件服务,已知受影响的托管服务提供商包括 Synnex Corp.和 Avtex LLC,由于 MSP 提供商的客户分布全球,导致此次事件影响范围颇广,目前瑞典最大连锁超市之一的 Coop 受此次供应链勒索攻击事件影响被迫关闭全国约800多家商店服务。
事件分析
1. 供应链源头分析
Kaseya 公司是一家深受 MSP 欢迎的远程管理提供商,提供自动化软件和远程管理软件,该公司宣称拥有超40,000的用户,其下产品 Kaseya VSA 是一款远程监控和管理软件工具,是 MSP 常用的解决方案之一,可以帮助管理客户端系统,并且具有客户端系统的管理员权限。根据该公司的公告猜测,此次攻击的最初入口是 VSA 中的 0day 漏洞,但目前尚未透露出关于该漏洞的详细信息,入侵后通过下发恶意软件更新服务,利用管理员权限感染了装有 VSA 的 MSP 服务商,而 MSP 又向其下游客户提供服务访问权限,导致此次 REvil 勒索病毒扩散的如此猛烈,即使没有安装 VSA 软件的客户也有被感染勒索病毒的可能,例如瑞典最大连锁超市之一的 Coop 由于其销售终端供应商使用 Kaseya 管理服务导致无期限关闭800家商店。
当前 Kaseya 官网对该事件进行了实时报道,并与相关计算机事件响应公司积极配合,其对外宣布已正确识别并缓解了漏洞,将在今晚晚些时候向 Kaseya VSA 客户提供入侵检测工具。
此次供应链攻击也是 Kaseya 产品第3次被用于部署勒索软件事件,2019年2月,Gandcrab 勒索软件团伙利用 ConnectWise Manage 软件的 Kaseya 插件中的漏洞,在 MSP 的客户网络上部署勒索软件。2019年6月,REvil 勒索软件团伙利用暴露的 RDP 服务,通过 Webroot SecureAnywhere 和 Kaseya VSA 产品对 MSP 发起了攻击,将勒索软件从 MSP 部署到他们的客户网络。
2. 攻击流程
根据现有情报,可以总结出 REvil 组织总体的攻击流程,首先通过 Kaseya VSA 中的零日漏洞进行入侵,随后立即停止管理员对 VSA 的访问,然后添加一个名为 “Kaseya VSA Agent Hot-fix” 的任务,该虚假恶意更新会部署到整个攻击环节中,包括在拥有 MSP 客户端的客户系统中,利用虚假恶意更新投递 REvil 勒索软件,该更新利用高权限进行自动安装,通过白加黑手法解密 REvile 勒索软件实施加密。
样本分析
原始样本采用无效签名进行伪装。
原始样本解密资源释放 MsMpEng.exe 和 mpsvc.dll 文件到 C:\\Windows 目录。
通过白加黑启动加载恶意 dll 文件。
对其恶意 dll 进行分析,其导出函数 ServiceCrtMain 通过线程进行恶意代码解密。
代码采用 OpenSSL 开源代码解密 shellcode。
执行 shellcode 代码,解密勒索软件 REvil 代码本体执行。
其恶意代码本体如下:
配置文件及其配置文件功能:
字段 | 描述 |
pk | Base64 编码的公钥 |
pid | 标识该客户的唯一值 |
sub | 标识该程序运行的唯一值 |
dbg | 标识是否检测键盘布局、系统语言和区域信息 |
et | 标识使用的加密类型: 0 – 加密所有数据;1 – 只加密第 1MB 的数据;2 – 先加密 1MB,然后根据指定的 spsize 字段决定路过指定的 MB 数。 |
spsize | 当 et 的值为2时,加密要跳过的 MB 数 |
wipe | 未使用 |
wfld | 未使用 |
wht | 包含3个白名单列表,分别为白名单目录,白名单文件和白名单拓展名 |
prc | 要结束的进程列表 |
dmn | C2 域名列表,使用”;”进行分隔 |
net | 标识是否向 C2 发送信息 |
svc | 标识要结束或删除的服务列表 |
nbody | 使用 Base64 编码后的勒索信息 |
nname | 勒索信息的文件名 |
exp | 标识是否尝试使用管理员权限运行 |
img | 使用 Base64 编码后的文本,用于添加到用户的桌面背景,提醒用户文件被加密 |
arn | 标识是否通过修改注册表的方式实现自启动 |
rdmcnt | 标识勒索信息中显示的最大目录数,如果为0,则显示全部目录 |
3. 检测方案
根据已知情报,除了对 REvil 勒索软件进行进行流量和 yara 规则检测以外,还可以根据是否包含以下可疑命令行和可疑注册表项进行检测:
‘C:\Windows\cert.exe’
‘Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled’
‘del /q /f c:\kworking\agent.crt’
‘Kaseya VSA Agent Hot-fix’
‘\AppData\Local\Temp\MsMpEng.exe’
‘HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\BlackLivesMatter’
总结与思考
目前该供应链攻击事件暂未透露出更多攻击细节,但造成的影响范围颇大,目前已经超过200家公司受到此次事件的影响。波及的原因主要还是由于 MSP 的客户群体过大,一旦 MSP 被攻击,如果开放权限过高,必然导致下游客户受到波及。此次攻击事件也不是 REvil 勒索软件组织第一次针对 MSP 攻击,早在2019年6月,REvil 勒索组织就已经将 MSP 提供商放到他们的攻击目标列表中。
近年来,关于 REvil 勒索软件组织的攻击事件频频发生,包括美国东海岸主要输油管道公司 Colonial Pipeline、全球食品分销商 JBS Foods、美国核武器开发合作商 Sol Oriens 等多家公司被勒索攻击,其攻击足迹遍布各行各业,公布出来的受害者数量高达273家,”战绩”颇丰。而 REvil 勒索软件只是作为万千勒索家族中的一员,就已经造成如此大的破坏,那么对于整个勒索行业的攻击趋势将不容乐观,企业安全防御压力也是随之剧增,面对越发频繁的攻击趋势,企业安全不能纯粹依靠传统安全软件进行防护和备份文件恢复,重点在于防御并非事后处置。需要加强纵深防御和建立快速应急响应机制与团队,针对不同业务线、网络、设备制定不同防护策略,加强边界防御管理能力,保证安全响应流畅性。
处置建议
- 微步在线情报团队掌握 REvil 勒索相关情报,使用微步在线相关产品的客户,请关注相关产品是否存在名为 “REvil” 或者 “Sodinokibi” 的告警,如果出现,请高优先级进行处置。
- 排查企业邮箱/个人邮箱账中是否收到过可疑邮件,并通过相关情报信息进行自查;
- 如发现部分员工存在账密被盗情况,需及时修改密码,并进一步核实该邮箱是否出现过异常登陆及其他恶意行为。加强内部人员安全意识培训,勿轻信可疑邮件中包含的可疑链接;
- 定期更换账号密码,保证密码长度与复杂度,不同系统账号尽量使用不同密码,对于重要业务平台使用多重身份验证,建立零信任模型;
- 设置重要资料共享访问权限,定期备份关键系统和资料;
- 定期清点公司资产,正确配置相关安全产品,对可疑告警进行及时处理,并检查软件和系统漏洞,及时更新安全补丁;
- 使用正规渠道下载安装软件,禁止打开不明渠道共享文件。
关于微步在线研究响应团队
微步情报局,即微步在线研究响应团队,负责微步在线安全分析与安全服务业务,主要研究内容包括威胁情报自动化研发、高级 APT 组织&黑产研究与追踪、恶意代码与自动化分析技术、重大事件应急响应等。