據(jù)報(bào)道，來(lái)自世界各地的1000多家企業(yè)受到了供應(yīng)鏈攻擊的影響，黑客正利用名為Kaseya VSA的遠(yuǎn)程計(jì)算機(jī)管理工具中的漏洞來(lái)部署REvil勒索軟件。目前，Kaseya已經(jīng)關(guān)閉了其基于云的服務(wù)，并敦促所有運(yùn)行本地部署的用戶——包括許多托管服務(wù)提供商(MSP)——立即關(guān)閉其易受攻擊的服務(wù)器，直至發(fā)布補(bǔ)丁。

事實(shí)上，這并不是網(wǎng)絡(luò)犯罪分子和勒索軟件團(tuán)伙第一次將MSP作為訪問(wèn)企業(yè)網(wǎng)絡(luò)的“入口”。然而，對(duì)于許多組織而言，防御這種攻擊媒介并不容易，因?yàn)橥獍麵T管理就意味著要為MSP提供對(duì)其網(wǎng)絡(luò)和系統(tǒng)的高度特權(quán)訪問(wèn)。

[[409562]]

Kaseya VSA攻擊的影響

7月2日(上周五)，針對(duì)Kaseya VSA服務(wù)器的攻擊事件出現(xiàn)在了美國(guó)。攻擊者可能是故意選擇在重大節(jié)假日(7.3-7.5日為美國(guó)獨(dú)立日假期)或周末之前發(fā)動(dòng)攻擊，目的是希望安全團(tuán)隊(duì)的響應(yīng)速度會(huì)慢一些，因?yàn)樵诿绹?guó)，員工在假期前的工作時(shí)長(zhǎng)縮短是很常見(jiàn)的。

Kaseya在一份報(bào)告中表示，“我們的客戶中只有很小一部分受到了影響——目前估計(jì)全球不到 40家。我們確信已經(jīng)掌握了漏洞來(lái)源，并正在為我們的本地部署客戶準(zhǔn)備一個(gè)補(bǔ)丁進(jìn)行緩解。我們會(huì)在完成徹底的測(cè)試之后，盡快發(fā)布該補(bǔ)丁，以使我們的客戶恢復(fù)正常運(yùn)行。”

目前，該公司已經(jīng)關(guān)閉了VSA的SaaS版本，但指出其云托管服務(wù)的客戶并未面臨風(fēng)險(xiǎn)。 Kaseya VSA是一種IT遠(yuǎn)程監(jiān)控和管理(RMM)解決方案，IT和網(wǎng)絡(luò)管理員可以使用它來(lái)自動(dòng)修補(bǔ)端點(diǎn)和服務(wù)器、管理備份和防病毒部署、自動(dòng)執(zhí)行其他IT流程以及遠(yuǎn)程解決和排除IT問(wèn)題。而為了能夠執(zhí)行所有這些任務(wù)，Kaseya VSA 軟件必須以管理員級(jí)別的訪問(wèn)權(quán)限運(yùn)行。

據(jù)Kaseya介紹，其RMM解決方案擁有超過(guò)36000名用戶，因此受影響的客戶不到40家聽(tīng)起來(lái)確實(shí)是一個(gè)小數(shù)字。但是，根據(jù)第三方報(bào)告指出，許多受影響的客戶是MSP，它們使用Kaseya VSA來(lái)管理數(shù)百家企業(yè)的系統(tǒng)和網(wǎng)絡(luò)。

托管威脅檢測(cè)和響應(yīng)供應(yīng)商Huntress的高級(jí)安全研究員John Hammond在一篇博文中表示，“我們正在跟蹤美國(guó)、澳大利亞、歐盟和拉丁美洲的約 30個(gè)MSP，發(fā)現(xiàn)其中許多企業(yè)與Kaseya VSA存在合作關(guān)系，而攻擊者已經(jīng)通過(guò)Kaseya VSA加密了超過(guò)1000家企業(yè)。所有這些VSA服務(wù)器都是本地部署，Huntress 已確認(rèn)網(wǎng)絡(luò)犯罪分子已經(jīng)利用了SQLi 漏洞，并且非常有信心使用身份驗(yàn)證繞過(guò)漏洞來(lái)訪問(wèn)這些服務(wù)器。”

Kaseya正在修復(fù)這些漏洞

根據(jù)荷蘭漏洞披露研究所 (DIVD) 的說(shuō)法，其研究人員已經(jīng)在上周末發(fā)現(xiàn)了攻擊中使用的一些零日漏洞，并已將這些信息報(bào)告給了Kaseya，以便其盡早開(kāi)發(fā)出補(bǔ)丁程序。

DIVD主席兼研究主管Victor Gevers稱，“在整個(gè)過(guò)程中，Kaseya已經(jīng)表明他們?cè)敢庠谠撌录懈冻鲎畲蟮呐椭鲃?dòng)性來(lái)解決這個(gè)問(wèn)題并幫助客戶完成漏洞修復(fù)，他們做出了明確且真誠(chéng)的承諾。值得警惕的是，攻擊者可以在客戶完成修復(fù)之前繼續(xù)利用這些漏洞。”

據(jù)Gevers稱，DIVD一直在與國(guó)家CERTS和其他合作伙伴合作，以識(shí)別和聯(lián)系公開(kāi)暴露的 Kaseya VSA服務(wù)器的用戶，并指出公開(kāi)暴露的實(shí)例數(shù)量已經(jīng)從最初的2200下降到不足140。

在補(bǔ)丁準(zhǔn)備好之前，Kaseya 建議客戶不要開(kāi)啟他們的本地VSA 服務(wù)器。但是，該公司發(fā)布了一種入侵檢測(cè)工具，可用于掃描VSA服務(wù)器或Kaseya管理的端點(diǎn)，以查找此次攻擊的入侵跡象。

REvil及其部署方式

REvil，也稱為Sodinokibi，是一種出現(xiàn)于2019年4月的勒索軟件威脅，并在另一個(gè)名為 GandCrab的RaaS團(tuán)伙關(guān)閉其服務(wù)后聲名鵲起。REvil 作為勒索軟件即服務(wù)(RaaS)平臺(tái)運(yùn)營(yíng)，通過(guò)招募合作伙伴進(jìn)行攻擊和勒索加密，最后各方進(jìn)行分成。在過(guò)去的一年里，REvil 已經(jīng)成為感染企業(yè)網(wǎng)絡(luò)最常見(jiàn)的勒索軟件之一。由于惡意軟件由不同的“會(huì)員”分發(fā)，因此初始訪問(wèn)向量以及攻擊者在網(wǎng)絡(luò)內(nèi)采取的行動(dòng)各不相同。

根據(jù)安全研究員Kevin Beaumont的說(shuō)法，一旦攻擊者通過(guò)利用零日漏洞獲得對(duì)Kaseya VSA實(shí)例的訪問(wèn)權(quán)限，他們就會(huì)立即停止管理員對(duì)該軟件的訪問(wèn)權(quán)限，以防止攻擊被阻止。然后，他們會(huì)設(shè)置一個(gè)名為“Kaseya VSA Agent Hot-fix”的任務(wù)，將偽造的Kaseya代理更新推送到通過(guò)該軟件管理的系統(tǒng)中。

這個(gè)虛假更新實(shí)際上就是REvil 勒索軟件。需要明確的是，這意味著非Kaseya客戶的組織仍可能會(huì)被加密。

鑒于Kaseya文檔建議客戶從防病毒掃描中排除安裝了VSA遠(yuǎn)程管理代理及其組件的文件夾，因此該惡意更新的部署可以進(jìn)一步推進(jìn)。

安裝后，REvil勒索軟件會(huì)執(zhí)行PowerShell命令，禁用Microsoft Defender for Endpoint的幾個(gè)重要功能：實(shí)時(shí)監(jiān)控、IPS、云查找、腳本掃描、受控文件夾訪問(wèn)(勒索軟件預(yù)防)、網(wǎng)絡(luò)保護(hù)和云樣本提交。該惡意軟件還會(huì)試圖篡改其他供應(yīng)商(包括 Sophos)的防病毒產(chǎn)品，并禁用各種備份系統(tǒng)。

該勒索網(wǎng)站托管在Tor網(wǎng)絡(luò)上，贖金貨幣為門羅幣(Monero)。HitmanPro惡意軟件分析師 Mark Loman分享的屏幕截圖顯示，贖金金額為 50000 美元。但有報(bào)道稱，與此次攻擊相關(guān)的贖金要求為500萬(wàn)美元。一般來(lái)說(shuō)，勒索軟件團(tuán)伙會(huì)根據(jù)他們對(duì)受害者年收入的了解來(lái)調(diào)整勒索金額。

MSP和遠(yuǎn)程管理工具并不是新攻擊目標(biāo)

針對(duì)MSP及其使用的管理軟件(例如 Kaseya)的攻擊并不是什么新現(xiàn)象。 2018年1月，安全公司eSentire報(bào)告稱，攻擊者通過(guò)Kaseya VSA中的漏洞攻擊了其眾多客戶，目的是在他們的系統(tǒng)上部署加密貨幣挖掘惡意軟件。Kaseya 隨后就發(fā)布了一個(gè)補(bǔ)丁來(lái)解決該漏洞。

2019年8月，REvil勒索軟件團(tuán)伙設(shè)法破壞了一家位于德克薩斯州的MSP(名為TSM Consulting Services)，并向其客戶部署了勒索軟件，影響了德克薩斯州的22個(gè)城市。

同年早些時(shí)候，勒索軟件組織利用ConnectWise ManagedITSync integration(一種旨在在 ConnectWise Manage PSA 和 Kaseya VSA RMM 之間同步數(shù)據(jù)的實(shí)用程序)中的一個(gè)舊漏洞來(lái)破壞MSP。安全公司Armor Defense的一份報(bào)告指出，2019年有13個(gè)MSP和云服務(wù)提供商受到攻擊，導(dǎo)致眾多市政當(dāng)局、學(xué)區(qū)和私營(yíng)企業(yè)的系統(tǒng)感染了勒索軟件。