2021年7月2日，Sodinokibi（REvil）勒索病毒黑客組織疑似利用0day漏洞，通過Kaseya VSA發(fā)起大規(guī)模供應(yīng)鏈攻擊行動，此次事件影響范圍廣泛，目前瑞典最大鏈鎖超市之一的Coop受此供應(yīng)鏈勒索攻擊事件影響被迫關(guān)閉全國約800多家商店服務(wù)。

　　國內(nèi)微步在線也對此次事件進行了相關(guān)分析報道，事實上此次的供應(yīng)鏈攻擊影響還是蠻大的，攻擊手法和攻擊技術(shù)也是非常完整的，Kaseya VSA沒有透露過多的攻擊細節(jié)和漏洞細節(jié)，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局對此次供應(yīng)鏈攻擊事件已經(jīng)界入調(diào)查。

　　分析溯源

　　此次Sodinokibi（REvil）勒索病毒黑客組織利用相關(guān)漏洞發(fā)起供應(yīng)鏈攻擊，這不是一次簡單的攻擊行動，沒有辦法去參與到這次的勒索攻擊溯源行動，只能根據(jù)國外某安全廠商的溯源報告以及其他一些渠道獲取到相關(guān)的溯源信息，對此次供應(yīng)鏈攻擊行動進行部分的分析還原，并不完整，更多的攻擊細節(jié)筆者因為沒有拿到相關(guān)的文件、日志數(shù)據(jù)，也沒辦法進行更深入的分析溯源。

　　分析系統(tǒng)日志的時候，發(fā)現(xiàn)了一個AWS IP地址：18[.]223.199.234發(fā)送POST請求，如下所示：

　　通過分析發(fā)現(xiàn)這個userFilterTableRpt.asp中包含大量潛在的SQL注入漏洞，這些漏洞為后面代碼執(zhí)行和破壞VSA服務(wù)器提供了基礎(chǔ)條件。

　　同時我們在請求日志中還發(fā)現(xiàn)dl.asp和KUpload.dll這兩個文件，通過分析發(fā)現(xiàn)dl.asp存在身份驗證邏輯缺陷，這種存在缺陷的身份驗證可以繞過服務(wù)器的檢測，授予用戶有效會話，KUpload.dll提供上傳功能，并將日志記錄到文件KUpload.log文件。

　　根據(jù)分析，我們發(fā)現(xiàn)KUpload.log文件內(nèi)容中包含已經(jīng)上傳了agent.crt和Screenshot.jpg文件到VSA服務(wù)器，agent.crt通過VSA的解密機制，解密出勒索病毒并加載，但是Screenshot.jpg文件是什么還未知，安全研究人員也在向外界尋求這個文件，相關(guān)日志記錄，如下所示：

　　從上面的分析，我們可以確認，此次的攻擊入口點應(yīng)該為Kaseya VSA的WEB應(yīng)用，黑客組織通過使用身份驗證漏洞繞過獲得經(jīng)過身份驗證的會話，上傳原始有效負載，然后通過SQL注入漏洞執(zhí)行命令。

　　國外安全研究人員，正在與AWS和執(zhí)法部門合作調(diào)查 18[.]223.199.234 這個IP 地址，后續(xù)看有沒有更多的信息發(fā)布吧。

　　此次供應(yīng)鏈攻擊調(diào)查分析溯源第一階段，如下所示：

　　這里有一個文件沒有找到Screenshot.jpg，不確定這個文件是做什么的，所以對分析溯源更多的信息會有一些影響。

　　agent.crt被上傳到了VSA服務(wù)器上，然后通過調(diào)查黑客組織利用PowerShell腳本執(zhí)行相關(guān)的命令行，如下所示：

　　通過VSA的更新流行執(zhí)行惡意更新程序agent.exe，釋放勒索病毒payload，利用Window Defender程序加載執(zhí)行，使用白+黑的方式。

　　此次供應(yīng)鏈攻擊調(diào)查分析溯源第二階段，如下所示：

　　沒有機會參加這次勒索病毒的溯源分析，也沒有辦法拿到一些相關(guān)的文件和日志數(shù)據(jù)等，僅僅從國外相關(guān)廠商和一些外界的報告部分還原了這次供應(yīng)鏈攻擊的一些過程，其實國外這家廠商也并沒有完整的還原整個攻擊過程，因為還有部分的文件并沒有拿到，可能是被黑客組織刪除了，曾應(yīng)急處理過很多包含勒索病毒以及其他惡意軟件相關(guān)的溯源分析工作，很多時候在溯源分析過程中，因為黑客組織刪除了系統(tǒng)或產(chǎn)品的一些日志以及惡意軟件相關(guān)信息，導(dǎo)致無法溯源到完整的攻擊過程，只能是基于自己的經(jīng)驗以及捕獲到的現(xiàn)有的日志數(shù)據(jù)和惡意文件進行分析溯源，事實上也只有黑客組織才真正清楚每一次攻擊的完整過程，安全分析人員只能基于系統(tǒng)上殘留的現(xiàn)有的日志以及惡意文件去分析溯源，還原攻擊過程，做好相應(yīng)的應(yīng)急響應(yīng)、檢測、防御等工作，分析溯源本身是一件很復(fù)雜的工作，依懶很多客觀因素，同時也需要更多的相關(guān)日志，以及捕獲到對應(yīng)的惡意軟件。

　　通過國外的安全廠商的分析溯源，可以看出這次Sodinokibi（REvil）勒索病毒發(fā)起的供應(yīng)鏈攻擊并不簡單，里面不僅僅可能利用一些0day漏洞，而且在主機系統(tǒng)的免殺方面也做了很多工作，黑客組織對Kaseya VSA系統(tǒng)也非常熟悉，做了很多前期的相關(guān)研究工作，然后再發(fā)起定向攻擊，同時白+黑也是APT攻擊活動中經(jīng)常使用的攻擊手法，正如之前提到的勒索病毒黑客組織已經(jīng)開始使用APT的攻擊手法進行完整的定向攻擊行動。

　　根據(jù)應(yīng)急處理的很多勒索病毒相關(guān)案例，勒索病毒黑客組織往往都喜歡在周五的時候發(fā)起大規(guī)模的勒索病毒攻擊行動，難道是為了對應(yīng)“黑色星期五”的意思？可以發(fā)現(xiàn)很多重大的勒索病毒攻擊事件都是發(fā)生在周五。

　　最后Sodinokibi（REvil）勒索病毒黑客組織要求7000萬美元發(fā)布一個通用解密器，能夠解鎖在這次供應(yīng)鏈攻擊過程中所有被攻擊加密的計算機，并在他們在暗網(wǎng)上的博客中，聲稱在事件期間阻止了超過一百萬個系統(tǒng)，如下所示：

      從勒索贖金可以看出黑客組織應(yīng)該是為這次供應(yīng)鏈攻擊做了很多準備工作的。

　　解決方案

　　CISA-FBI 針對受 Kaseya VSA 供應(yīng)鏈勒索軟件攻擊影響的 MSP 及其客戶發(fā)布了相關(guān)的解決方案，鏈接如下：

　　https://us-cert.cisa.gov/ncas/current-activity/2021/07/04/cisa-fbi-guidance-msps-and-their-customers-affected-kaseya-vsa

　　解決方案中Kaseya VSA發(fā)布了相關(guān)的檢測工具，如下所示：

　　參考鏈接：

　　https://www.huntress.com/blog/rapid-response-kaseya-vsa-mass-msp-ransomware-incident

　　總結(jié)

　　勒索病毒黑客組織一直在更新，從來沒有停止過發(fā)起新的攻擊，尋找新的目標(biāo)，未來幾年勒索攻擊仍然是全球最大的安全威脅。

　　現(xiàn)在安全事件真的是太多了，很多企業(yè)都潛伏著各種各樣的安全威脅，各種惡意軟件更是無處不在，一方面默默的監(jiān)控和獲取企業(yè)中的數(shù)據(jù)，另一方面又給勒索攻擊提供了載體，也許只是在等待一個時機爆發(fā)，需要更多專業(yè)的安全分析人員去發(fā)現(xiàn)企業(yè)中潛在的安全威脅。