Kaseya勒索软件攻击分析

Kaseya勒索软件攻击分析

该攻击于 7 月 2 日首次被发现，并已蔓延至美国、澳大利亚、欧盟、拉丁美洲和亚洲的 30 多个 MSP 和 1,500 多家企业。

客户收到了恶意的“VSA 代理修补程序”包，该包能够通过利用 Microsoft Defender 应用程序的旧有缺陷版本来克服防病毒保护。

根据官方 REvil 博客上的更新，Kaseya 供应链攻击导致超过 100 万个单独的设备被加密并停止运行。

安全公司 SOPHOS 对勒索软件进行了详细的取证分析。本文档中的攻击叙述是根据该信息和 Internet 上其他公开可用的信息创建的。

攻击旁白

感染供应链

研究人员认为，REvil 威胁实施者设法利用 Kaseya VSA 服务器中的零日漏洞绕过 Web 面板上的身份验证并在设备上执行 SQL 命令以将 REvil 有效负载部署到所有连接的客户端。

渗入客户系统

恶意软件通过发送到 VSA 服务器的恶意更新有效负载传送，然后传送到托管的 Windows 设备上运行的 VSA 代理应用程序。 这使 REvil 以多种方式隐身：

· 它允许通过可信渠道进行初始妥协，并利用对 VSA 代理代码的信任，这反映在 Kaseya 为其应用程序和代理“工作”文件夹设置所需的反恶意软件软件排除中。

· 因此，Kaseya Agent Monitor 执行的任何内容都会被忽略，因为这些排除允许 REvil 部署其投放器而无需审查。

站稳脚跟

Kaseya Agent Monitor（在 C:\PROGRAM FILES (X86)\KASEYA\\AGENTMON.EXE，ID 是连接到监视器实例的服务器的识别密钥）写出 Base64 编码的恶意负载 AGENT .CRT 到 VSA 代理的“ working ”目录以进行更新（默认为 C:\KWORKING\）。AGENT.CRT 被编码以防止恶意软件防御在删除时通过模式扫描和机器学习执行静态文件分析。需要注意的是，由于该文件部署在“ working ”目录中，根据Kaseya的要求，该目录被排除在恶意软件防御之外，因此在这种情况下可能不需要编码。

部署负载后，Kaseya 代理运行 Windows shell 命令（共 7 个），使用“ & ”作为分隔符连接成一个字符串。

命令（按可能的执行顺序给出）及其作用

[1] ping 127.0.0.1 -n 5693 > 空

第一个命令本质上是一个计时器。PING 命令有一个 -n 参数，它指示 Windows PING.EXE 工具向本地主机 (127.0.0.1) 发送回显请求。在这种情况下，有 5,693 个。这充当了“睡眠”功能，将随后的 PowerShell 命令延迟了 5,693 秒，大约为 94 分钟。每个受害者的值 5,693 各不相同，这表明该数字是在每个 VSA 服务器上随机生成的，作为将恶意命令发送给受害者的代理程序的一部分。这是自定义攻击的一个示例。

[2] C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Dis提交样品同意从不发送

命令字符串的下一部分是 PowerShell 命令，它尝试禁用 Microsoft Defender 提供的核心恶意软件和反勒索软件保护：

· 实时保护

· 防止利用已知漏洞的网络保护

· 扫描所有下载的文件和附件

· 扫描脚本

· 勒索软件防护

· 防止任何应用程序访问可能承载网络钓鱼诈骗、漏洞利用和 Internet 上其他恶意内容的危险域的保护

· 与 Microsoft Active Protection Service (MAPS) 共享潜在威胁信息

· 自动向 Microsoft 提交样本

· 关闭这些功能是为了防止 Microsoft Defender 潜在地阻止后续的恶意文件和活动。

[3]复制/YC:\Windows\System32\certutil.exe C:\Windows\cert.exe

这将创建 Windows 证书实用程序 CERTUTIL.EXE 的副本，可用于下载和解码 Web 编码的内容。该副本将写入 C:\WINDOWS\CERT.EXE。

[4] 回显 %RANDOM% >> C:\Windows\cert.exe

这会在复制的 CERTUTIL 末尾附加一个随机的 5 位数字。这可能是为了防止监视 CERTUTIL 滥用的反恶意软件产品通过签名将 CERT.EXE 识别为 CERTUTIL 副本。

[5] C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe

复制的 CERTUTIL 用于解码 Base64 编码的有效负载文件 AGENT.CRT，并将其写入 Kaseya工作文件夹中的可执行文件 AGENT.EXE 。AGENT.EXE 有一个有效的验证码，用“PB03 TRANSPORT LTD”的证书签名。该证书仅与可能被盗或以欺诈方式获得的 REvil 恶意软件相关联。在对 AGENT.EXE 进行逆向工程时，发现它包含攻击前一天的编译器时间戳 2021 年 7 月 1 日 (14:40:29)。

[6] del /q /fc:\kworking\agent.crt C:\Windows\cert.exe

原始负载文件 C:\KWORKING\AGENT.CRT 和 CERTUTIL 的副本被删除。

[7] c:\kworking\agent.exe

最后，AGENT.EXE 是由 Kaseya 的 AGENTMON.EXE 进程（继承其系统级特权）启动的——然后开始真正地删除勒索软件。

侧装隐身

AGENT.EXE 删除了 MSMPENG.EXE，它是 Microsoft 反恶意软件服务可执行文件的过时和过期版本。这是来自 Windows Defender 的合法但易受攻击的应用程序，版本 4.5.218.0，由 Microsoft 于 2014 年 3 月 23 日签署：

此版本的 MSMPENG.EXE 容易受到旁加载攻击（之前在使用同一文件的其他攻击中已发现）。在侧加载攻击中，恶意代码被放入动态链接库 (DLL) 中，该动态链接库的名称与目标可执行文件所需的名称相同，并且通常放置在与可执行文件相同的文件夹中，以使恶意文件可用在 DLL 加载顺序中合法的之前。

在这种情况下，AGENT.EXE 在 MSMPENG.EXE 可执行文件旁边放置了一个名为 MPSVC.DLL 的恶意文件。AGENT.EXE 然后执行 MSMPENG.EXE，它检测恶意 MPSVC.DLL 文件并将其加载到自己的内存空间。

MPSVC.DLL 还包含“PB03 TRANSPORT LTD”。应用于 AGENT.EXE 的证书。MPSVC.DLL 似乎是在 2021 年 7 月 1 日星期四 (14:39:06) 编译的，就在编译 AGENT.EXE 之前。

从这里开始，MPSVC.DLL 中的恶意代码劫持了微软品牌进程的正常执行流程。

一旦 DLL 加载到内存中，恶意软件就会将其从磁盘中删除。

现在受恶意 MPSVC.DLL 控制的 MSMPENG.EXE 开始加密本地磁盘、连接的可移动驱动器和映射的网络驱动器，所有这些都来自 Microsoft 签名的应用程序，安全控制通常信任该应用程序并允许其不受阻碍地运行。

横向运动

一旦站稳脚跟，这个 REvil 勒索软件在技术上与其他最近的 REvil 勒索活动非常相似。

它执行NetShell (netsh)命令来更改防火墙设置，以允许其他计算机使用以下命令在本地网络上发现本地 Windows 系统：

netsh advfirewall 防火墙设置规则组=”网络发现”新启用=是

加密

移动和建立后，勒索软件开始加密文件。REvil勒索软件执行就地加密攻击，因此加密文档与原始未加密文档存储在同一扇区中，因此无法使用数据恢复工具恢复原始文档。

REvil 的高效文件系统活动被实现为多线程代码，并且特定操作在专用线程上执行。勒索软件存储访问活动，即读取原始文档和写入加密文档、将密钥嵌入为二进制对象以及文档重命名在多个单独的线程上运行。

在加密每个文件时，会在其名称末尾添加一个随机扩展名。

攻击总结

1. 使用 0day 和 SQLi 将其渗透到 Kaseya VSA 服务器中

2. 使用可信渠道渗透到托管系统

3. 使用对本地主机的杠杆信任来运行主安装命令

4. 运行 PowerShell 命令以停止 Windows Defender

5. 重命名 CERTUTIL.EXE 从 AGENT.CRT 解码 AGENT.EXE

6. 执行 AGENT.EXE，将 MSMPENG.EXE 和 MPSVC.DLL 放入 C:\Windows

7. 执行 MSMPENG.EXE，并加载 REvil DLL

8. 文件已加密，赎金记录已创建

9. Netsh.exe 开启网络发现

10. 执行横向移动并影响其他窗户机器

11. 继续加密

攻击特长

观察到这种攻击的一些因素与其他类似的攻击不同：

· REvil 攻击没有明显的努力来窃取数据，可能是由于其大规模部署

· 攻击是根据组织的规模定制的，这意味着 REvil 参与者可以访问 VSA 服务器实例并能够识别 MSP 的个人客户。

· 没有删除卷影副本的迹象，这是勒索软件中的常见行为。这是为了避免触发恶意软件防御。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。