摘要
2021年7月2日,总部位于迈阿密的 Kaseya 公司发布声明,确认其下产品 KASEYA VSA 软件存在漏洞,已被 REvil 黑客勒索组织利用攻击,目前已经关闭了其 SaaS 服务器,并且建议所有客户关闭 VSA 服务器。Kaseya 为托管服务提供商(MSP)提供远程管理软件服务,已知受影响的托管服务提供商包括 Synnex Corp. 和 Avtex LLC,由于 MSP 提供商的客户分布全球,导致此次事件影响范围颇广,目前瑞典最大连锁超市之一的 Coop 受此次供应链勒索攻击事件影响被迫关闭全国约500家商店服务。
事件分析
2.1 供应链源头分析
Kaseya 公司是一家深受 MSP 欢迎的远程管理提供商,提供自动化软件和远程管理软件,该公司宣称拥有超40,000的用户,其下产品 Kaseya VSA 是一款远程监控和管理软件工具,是 MSP 常用的解决方案之一,可以帮助管理客户端系统,并且具有客户端系统的管理员权限。根据该公司的公告猜测,此次攻击的最初入口是 VSA 中的 0day 漏洞,但目前尚未透露出关于该漏洞的详细信息,入侵后通过下发恶意软件更新服务,利用管理员权限感染了装有 VSA 的 MSP 服务商,而 MSP 又向其下游客户提供服务访问权限,导致此次 REvil 勒索病毒扩散的如此猛烈,即使没有安装 VSA 软件的客户也有被感染勒索病毒的可能,例如瑞典最大连锁超市之一的 Coop 由于其销售终端供应商使用 Kaseya 管理服务导致约500家商店被迫关闭。
当前 Kaseya 官网对该事件进行了实时报道,并与相关计算机事件响应公司积极配合,其对外宣布已正确识别并缓解了漏洞,将在今晚晚些时候向 Kaseya VSA 客户提供入侵检测工具。
此次供应链攻击也是 Kaseya 产品第3次被用于部署勒索软件事件,2019年2月,Gandcrab 勒索软件团伙利用 ConnectWise Manage 软件的 Kaseya 插件中的漏洞,在 MSP 的客户网络上部署勒索软件。2019年6月,REvil 勒索软件团伙利用暴露的 RDP 服务,通过 Webroot SecureAnywhere 和 Kaseya VSA 产品对 MSP 发起了攻击,将勒索软件从 MSP 部署到他们的客户网络。
2. 攻击流程
根据现有情报,可以总结出 REvil 组织总体的攻击流程,首先通过 Kaseya VSA 中的零日漏洞进行入侵,随后立即停止管理员对 VSA 的访问,然后添加一个名为 “Kaseya VSA Agent Hot-fix" 的任务,该虚假恶意更新会部署到整个攻击环节中,包括在拥有 MSP 客户端的客户系统中,利用虚假恶意更新投递 REvil 勒索软件,该更新利用高权限进行自动安装,通过白加黑手法解密 REvile 勒索软件实施加密。
样本分析
原始样本采用无效签名进行伪装。
原始样本解密资源释放 MsMpEng.exe 和 mpsvc.dll 文件到 C:\\Windows 目录。
通过白加黑启动加载恶意 dll 文件。
对其恶意 dll 进行分析,其导出函数 ServiceCrtMain 通过线程进行恶意代码解密。
代码采用 OpenSSL 开源代码解密 shellcode。
执行 shellcode 代码,解密勒索软件 REvil 代码本体执行。
其恶意代码本体如下:
配置文件及其配置文件功能:
字段 | 描述 |
pk | Base64 编码的公钥 |
pid | 标识该客户的唯一值 |
sub | 标识该程序运行的唯一值 |
dbg | 标识是否检测键盘布局、系统语言和区域信息 |
et | 标识使用的加密类型: 0 - 加密所有数据;1 - 只加密第 1MB 的数据;2 - 先加密 1MB,然后根据指定的 spsize 字段决定路过指定的 MB 数。 |
spsize | 当 et 的值为2时,加密要跳过的 MB 数 |
wipe | 未使用 |
wfld | 未使用 |
wht | 包含3个白名单列表,分别为白名单目录,白名单文件和白名单拓展名 |
prc | 要结束的进程列表 |
dmn | C2 域名列表,使用";"进行分隔 |
net | 标识是否向 C2 发送信息 |
svc | 标识要结束或删除的服务列表 |
nbody | 使用 Base64 编码后的勒索信息 |
nname | 勒索信息的文件名 |
exp | 标识是否尝试使用管理员权限运行 |
img | 使用 Base64 编码后的文本,用于添加到用户的桌面背景,提醒用户文件被加密 |
arn | 标识是否通过修改注册表的方式实现自启动 |
rdmcnt | 标识勒索信息中显示的最大目录数,如果为0,则显示全部目录 |
3. 检测方案
根据已知情报,除了对 REvil 勒索软件进行进行流量和 yara 规则检测以外,还可以根据是否包含以下可疑命令行和可疑注册表项进行检测:
'C:\Windows\cert.exe' 'Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled' 'del /q /f c:\kworking\agent.crt' 'Kaseya VSA Agent Hot-fix' '\AppData\Local\Temp\MsMpEng.exe' 'HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\BlackLivesMatter'
总结与思考
目前该供应链攻击事件暂未透露出更多攻击细节,但造成的影响范围颇大,目前已经超过200家公司受到此次事件的影响。波及的原因主要还是由于 MSP 的客户群体过大,一旦 MSP 被攻击,如果开放权限过高,必然导致下游客户受到波及。此次攻击事件也不是 REvil 勒索软件组织第一次针对 MSP 攻击,早在2019年6月,REvil 勒索组织就已经将 MSP 提供商放到他们的攻击目标列表中。
近年来,关于 REvil 勒索软件组织的攻击事件频频发生,包括美国东海岸主要输油/管道公司 Colonial Pipeline、全球食品分销商 JBS Foods、美国核武器开发合作商 Sol Oriens 等多家公司被勒索攻击,其攻击足迹遍布各行各业,公布出来的受害者数量高达273家,"战绩"颇丰。而 REvil 勒索软件只是作为万千勒索家族中的一员,就已经造成如此大的破坏,那么对于整个勒索行业的攻击趋势将不容乐观,企业安全防御压力也是随之剧增,面对越发频繁的攻击趋势,企业安全不能纯粹依靠传统安全软件进行防护和备份文件恢复,重点在于防御并非事后处置。需要加强纵深防御和建立快速应急响应机制与团队,针对不同业务线、网络、设备制定不同防护策略,加强边界防御管理能力,保证安全响应流畅性。
处置建议
使用微步在线相关产品的客户,请关注相关产品是否存在名为 “REvil” 或者 “Sodinokibi” 的告警,如果出现,请高优先级进行处置。
排查企业邮箱/个人邮箱账中是否收到过可疑邮件,并通过相关情报信息进行自查;
如发现部分员工存在账密被盗情况,需及时修改密码,并进一步核实该邮箱是否出现过异常登陆及其他恶意行为。加强内部人员安全意识培训,勿轻信可疑邮件中包含的可疑链接;
定期更换账号密码,保证密码长度与复杂度,不同系统账号尽量使用不同密码,对于重要业务平台使用多重身份验证,建立零信任模型;
设置重要资料共享访问权限,定期备份关键系统和资料;
定期清点公司资产,正确配置相关安全产品,对可疑告警进行及时处理,并检查软件和系统漏洞,及时更新安全补丁;
使用正规渠道下载安装软件,禁止打开不明渠道共享文件。