2021年7月2日，Sodinokibi（REvil）勒索病毒黑客組織疑似利用0day漏洞，通過(guò)Kaseya VSA發(fā)起大規(guī)模供應(yīng)鏈攻擊行動(dòng)，此次事件影響范圍廣泛，目前瑞典最大鏈鎖超市之一的Coop受此供應(yīng)鏈勒索攻擊事件影響被迫關(guān)閉全國(guó)約800多家商店服務(wù)。

　　國(guó)內(nèi)微步在線也對(duì)此次事件進(jìn)行了相關(guān)分析報(bào)道，事實(shí)上此次的供應(yīng)鏈攻擊影響還是蠻大的，攻擊手法和攻擊技術(shù)也是非常完整的，Kaseya VSA沒有透露過(guò)多的攻擊細(xì)節(jié)和漏洞細(xì)節(jié)，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局對(duì)此次供應(yīng)鏈攻擊事件已經(jīng)界入調(diào)查。

　　分析溯源

　　此次Sodinokibi（REvil）勒索病毒黑客組織利用相關(guān)漏洞發(fā)起供應(yīng)鏈攻擊，這不是一次簡(jiǎn)單的攻擊行動(dòng)，沒有辦法去參與到這次的勒索攻擊溯源行動(dòng)，只能根據(jù)國(guó)外某安全廠商的溯源報(bào)告以及其他一些渠道獲取到相關(guān)的溯源信息，對(duì)此次供應(yīng)鏈攻擊行動(dòng)進(jìn)行部分的分析還原，并不完整，更多的攻擊細(xì)節(jié)筆者因?yàn)闆]有拿到相關(guān)的文件、日志數(shù)據(jù)，也沒辦法進(jìn)行更深入的分析溯源。

　　分析系統(tǒng)日志的時(shí)候，發(fā)現(xiàn)了一個(gè)AWS IP地址：18[.]223.199.234發(fā)送POST請(qǐng)求，如下所示：

　　通過(guò)分析發(fā)現(xiàn)這個(gè)userFilterTableRpt.asp中包含大量潛在的SQL注入漏洞，這些漏洞為后面代碼執(zhí)行和破壞VSA服務(wù)器提供了基礎(chǔ)條件。

　　同時(shí)我們?cè)谡?qǐng)求日志中還發(fā)現(xiàn)dl.asp和KUpload.dll這兩個(gè)文件，通過(guò)分析發(fā)現(xiàn)dl.asp存在身份驗(yàn)證邏輯缺陷，這種存在缺陷的身份驗(yàn)證可以繞過(guò)服務(wù)器的檢測(cè)，授予用戶有效會(huì)話，KUpload.dll提供上傳功能，并將日志記錄到文件KUpload.log文件。

　　根據(jù)分析，我們發(fā)現(xiàn)KUpload.log文件內(nèi)容中包含已經(jīng)上傳了agent.crt和Screenshot.jpg文件到VSA服務(wù)器，agent.crt通過(guò)VSA的解密機(jī)制，解密出勒索病毒并加載，但是Screenshot.jpg文件是什么還未知，安全研究人員也在向外界尋求這個(gè)文件，相關(guān)日志記錄，如下所示：

　　從上面的分析，我們可以確認(rèn)，此次的攻擊入口點(diǎn)應(yīng)該為Kaseya VSA的WEB應(yīng)用，黑客組織通過(guò)使用身份驗(yàn)證漏洞繞過(guò)獲得經(jīng)過(guò)身份驗(yàn)證的會(huì)話，上傳原始有效負(fù)載，然后通過(guò)SQL注入漏洞執(zhí)行命令。

　　國(guó)外安全研究人員，正在與AWS和執(zhí)法部門合作調(diào)查 18[.]223.199.234 這個(gè)IP 地址，后續(xù)看有沒有更多的信息發(fā)布吧。

　　此次供應(yīng)鏈攻擊調(diào)查分析溯源第一階段，如下所示：

　　這里有一個(gè)文件沒有找到Screenshot.jpg，不確定這個(gè)文件是做什么的，所以對(duì)分析溯源更多的信息會(huì)有一些影響。

　　agent.crt被上傳到了VSA服務(wù)器上，然后通過(guò)調(diào)查黑客組織利用PowerShell腳本執(zhí)行相關(guān)的命令行，如下所示：

　　通過(guò)VSA的更新流行執(zhí)行惡意更新程序agent.exe，釋放勒索病毒payload，利用Window Defender程序加載執(zhí)行，使用白+黑的方式。

　　此次供應(yīng)鏈攻擊調(diào)查分析溯源第二階段，如下所示：

　　沒有機(jī)會(huì)參加這次勒索病毒的溯源分析，也沒有辦法拿到一些相關(guān)的文件和日志數(shù)據(jù)等，僅僅從國(guó)外相關(guān)廠商和一些外界的報(bào)告部分還原了這次供應(yīng)鏈攻擊的一些過(guò)程，其實(shí)國(guó)外這家廠商也并沒有完整的還原整個(gè)攻擊過(guò)程，因?yàn)檫€有部分的文件并沒有拿到，可能是被黑客組織刪除了，曾應(yīng)急處理過(guò)很多包含勒索病毒以及其他惡意軟件相關(guān)的溯源分析工作，很多時(shí)候在溯源分析過(guò)程中，因?yàn)楹诳徒M織刪除了系統(tǒng)或產(chǎn)品的一些日志以及惡意軟件相關(guān)信息，導(dǎo)致無(wú)法溯源到完整的攻擊過(guò)程，只能是基于自己的經(jīng)驗(yàn)以及捕獲到的現(xiàn)有的日志數(shù)據(jù)和惡意文件進(jìn)行分析溯源，事實(shí)上也只有黑客組織才真正清楚每一次攻擊的完整過(guò)程，安全分析人員只能基于系統(tǒng)上殘留的現(xiàn)有的日志以及惡意文件去分析溯源，還原攻擊過(guò)程，做好相應(yīng)的應(yīng)急響應(yīng)、檢測(cè)、防御等工作，分析溯源本身是一件很復(fù)雜的工作，依懶很多客觀因素，同時(shí)也需要更多的相關(guān)日志，以及捕獲到對(duì)應(yīng)的惡意軟件。

　　通過(guò)國(guó)外的安全廠商的分析溯源，可以看出這次Sodinokibi（REvil）勒索病毒發(fā)起的供應(yīng)鏈攻擊并不簡(jiǎn)單，里面不僅僅可能利用一些0day漏洞，而且在主機(jī)系統(tǒng)的免殺方面也做了很多工作，黑客組織對(duì)Kaseya VSA系統(tǒng)也非常熟悉，做了很多前期的相關(guān)研究工作，然后再發(fā)起定向攻擊，同時(shí)白+黑也是APT攻擊活動(dòng)中經(jīng)常使用的攻擊手法，正如之前提到的勒索病毒黑客組織已經(jīng)開始使用APT的攻擊手法進(jìn)行完整的定向攻擊行動(dòng)。

　　根據(jù)應(yīng)急處理的很多勒索病毒相關(guān)案例，勒索病毒黑客組織往往都喜歡在周五的時(shí)候發(fā)起大規(guī)模的勒索病毒攻擊行動(dòng)，難道是為了對(duì)應(yīng)“黑色星期五”的意思？可以發(fā)現(xiàn)很多重大的勒索病毒攻擊事件都是發(fā)生在周五。

　　最后Sodinokibi（REvil）勒索病毒黑客組織要求7000萬(wàn)美元發(fā)布一個(gè)通用解密器，能夠解鎖在這次供應(yīng)鏈攻擊過(guò)程中所有被攻擊加密的計(jì)算機(jī)，并在他們?cè)诎稻W(wǎng)上的博客中，聲稱在事件期間阻止了超過(guò)一百萬(wàn)個(gè)系統(tǒng)，如下所示：

      從勒索贖金可以看出黑客組織應(yīng)該是為這次供應(yīng)鏈攻擊做了很多準(zhǔn)備工作的。

　　解決方案

　　CISA-FBI 針對(duì)受 Kaseya VSA 供應(yīng)鏈勒索軟件攻擊影響的 MSP 及其客戶發(fā)布了相關(guān)的解決方案，鏈接如下：

　　https://us-cert.cisa.gov/ncas/current-activity/2021/07/04/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa

　　解決方案中Kaseya VSA發(fā)布了相關(guān)的檢測(cè)工具，如下所示：

　　參考鏈接：

　　https://www.huntress.com/blog/rapid-response-kaseya-vsa-mass-msp-ransomware-incident

　　總結(jié)

　　勒索病毒黑客組織一直在更新，從來(lái)沒有停止過(guò)發(fā)起新的攻擊，尋找新的目標(biāo)，未來(lái)幾年勒索攻擊仍然是全球最大的安全威脅。

　　現(xiàn)在安全事件真的是太多了，很多企業(yè)都潛伏著各種各樣的安全威脅，各種惡意軟件更是無(wú)處不在，一方面默默的監(jiān)控和獲取企業(yè)中的數(shù)據(jù)，另一方面又給勒索攻擊提供了載體，也許只是在等待一個(gè)時(shí)機(jī)爆發(fā)，需要更多專業(yè)的安全分析人員去發(fā)現(xiàn)企業(yè)中潛在的安全威脅。