Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Il 2 luglio 2021, un gruppo di attaccanti informatici affiliati a REvil - gruppo conosciuto per
malware di tipo ransomware - hanno lanciato un largo attacco ransomware a Kaseya. Questi
hanno sfruttato i servizi remoti di Kaseya VSA per diffondere il malware tramite un
aggiornamento hotfix a tutti i clienti.
Le due tecniche principali utilizzate sono state Supply Chain e Ransomware.
1. Reconnaissance
2. Weaponization
3. Delivery
4. Exploitation
5. Installation
6. Command & Control
7. Actions on Objectives
Per com’è pensato questo modello vedremo che non si entrerà tanto nei dettagli
come accade invece facendo l’analisi usando MITRE ATT&CK.
Reconnaissance
In questa prima fase viene stabilito qual è l’obiettivo dell’attacco e si cerca di
raccogliere più informazioni possibili sulla prossima vittima.
Nell’attacco a Kaseya l’obiettivo è stato di eseguire un supply chain attack usando un
ransomware. L’obiettivo principale è stato di cifrare tutti i dati dei clienti, ma per riuscire a
farlo hanno attaccato prima i server VSA di Kaseya (Virtual Systems Administrator) -
software di gestione per infrastrutture IT e poi a moltissimi MSP (Managed Service
Providers).
1
Weaponization
In questa seconda fase dell'attacco si va a progettare il codice malevolo che sfrutta le
vulnerabilità trovate nella prima fase.
Per rendere più impegnativa l’analisi del malware, il codice ransomware è stato
incapsulato all’interno di un certificato legittimo. Questo ha un codice di autenticazione ed è
stato firmato da PB03 TRANSPORT LTD.
Inoltre, per non lasciare traccia sulla macchina della vittima il ransomware ha
eliminato file intermedi che hanno permesso di ottenere il codice da eseguire.
Delivery
In questa fase avviene la distribuzione del malware sulle macchine delle vittime – i
clienti del fornitore. Sfruttando le vulnerabilità trovate gli attaccanti sono riusciti a bypassare
il sistema di autenticazione e quindi ad ottenere una chiave di sessione. Sfruttando questa
chiave e tramite SQL injection hanno fatto scaricare sulle macchine server un file
agent.crt. Di seguito, sfruttando un aggiornamento che inizialmente sembrava attendibile,
di nome Kaseya VSA Agent Hot-fix, sono riusciti a diffondere il ransomware alle
macchine dei clienti in una delle directory affidabili, escluse dal controllo antivirus.
Exploitation
Nella fase di exploitation viene installato il ransomware in modo che sia pronto
all’esecuzione, quindi alla codifica dei file.
La relazione di trust tra il fornitore di servizi ed il cliente ha permesso agli attaccanti
di individuare quali programmi e cartelle sono considerate affidabili e quindi escluse dal
controllo antivirus. Dunque qualsiasi eseguibile all’interno di queste risulta affidabile. Infatti,
la decodifica del certificato avviene in una directory affidabile.
2
codice ransomware tramite una DLL dello stesso nome che si aspetta, come se fosse quella
attendibile.
Una volta caricato tutto in memoria, il ransomware può rimuovere i file temporanei
utilizzati finora e cominciare il processo di cifratura.
Installation
In questa fase si cerca di mantenere persistenza ed eseguire il codice ransomware.
A seconda del malware costruito, l’operazione di cifratura dei dati può avvenire in modi
diversi. Per come è stato progettato, durante l’attacco, il ransomware verifica la presenza di
alcune estensioni di file. Inoltre verificava la lingua di default delle macchine, ed infine,
vengono scartate alcune directory dal processo di cifratura dati.
Inoltre, tramite il comando netsh modifica le impostazioni del firewall in modo tale da
poter cifrare anche le memorie di rete.
Actions on Objectives
Ultima fase nella quale, nel caso dell’attacco a Kaseya, viene chiesto alla vittima un
riscatto per la decodifica dei dati, spiegando come procedere nei tempi prestabiliti. Inoltre, è
stato fornito un file di test con le istruzioni per provare a decodificare.
MITRE ATT&CK
Mitre offre una wikipedia di molte tecniche usate durante i più grandi attacchi informatici
mettendo a disposizione la tecnica usata, possibile obiettivo dell’attaccante, il sistema
operativo ed altre informazioni. In questo modo i fornitori di servizi possono fare un’analisi e
proteggere i loro sistemi.
1. Initial access
Fase nella quale si cerca di creare un piede sulla vittima. Una delle tecniche usate in
questa fase è la Supply Chain Compromise (T1195). In particolare, gli attaccanti hanno
sfruttato il processo di aggiornamento, quindi la tecnica è stata Compromise Software
Dependencies and Development Tools.
Un’altra tecnica utilizzata in questa fase è stata Valid Accounts (T1078). Gli
attaccanti sono riusciti ad ottenere username e password ed una chiave di sessione per
mettere piedi sui server di Kaseya. Questo è stato possibile grazie ad una vulnerabilità
zero-day e sql injection.
Inoltre, è stata utilizzata la tecnica Trusted Relationship (T1199). Gli attaccanti hanno
sfruttato la relazione di fiducia tra fornitore e clienti per distribuire un aggiornamento, in
particolare hanno scoperto che ci sono delle directory di lavoro escluse dal controllo
3
antivirus. Eventuale eseguibile all’interno di queste viene processato liberamente dal
sistema.
2. Execution
Una volta essere riusciti a portare il malware sulle macchine dei clienti, come
obiettivo principale degli attaccanti, questi hanno utilizzato la tecnica Command and
Scripting Interpreter (T1059). Nello specifico, considerando che i clienti hanno macchine
Windows, gli attaccanti hanno eseguito il codice malevolo utilizzando la sottotecnica di
PowerShell. Tramite la PowerShell hanno preparato l’eseguibile ransomware e disabilitato
diversi controlli di virus e monitoraggi di sistema prima di avviare l’esecuzione del codice
malware.
In particolare sono state disabilitate le seguenti funzionalità:
- real-time protection
- network protection against exploitation of known vulnerabilities
- scanning of all downloaded files and attachments
- scanning of scripts
- ransomware protection
- protection that prevents any application from gaining access to dangerous domains
that may host phishing scams, exploits, and other malicious content on the Internet
- sharing of potential threat information with Microsoft Active Protection Service
(MAPS)
- automatic sample submission to Microsoft
3. Persistence
Inoltre, sempre per mantenere persistenza, il ransomware crea alcune chiavi nei
registri di sistema sotto la directory BlackLivesMatter dove vengono salvate alcune chiavi
come ad esempio le chiavi per cifrare i dati.
4. Privilege Escalation
In questa fase, dopo aver raggiunto persistenza, si cerca di guadagnare privilegi più
elevati. Una tecnica individuata in questo attacco è la Process Injection (T1055). In
particolare, come abbiamo visto, è stata iniettata una DLL malevola all’interno di un
processo legittimo di Microsoft Antimalware Service. La sotto-tecnica utilizzata dunque è
4
Dynamic-link Library Injection, con l’obiettivo di evadere alla difesa degli antivirus e
guadagnare privilegi di esecuzione.
Inoltre, gli attaccanti hanno utilizzato NetShell (netsh) da linea di comando per
disabilitare le impostazioni del firewall in modo che ogni macchina si possa vedere nella rete
locale ed il ransomware possa cifrare tutto, anche le memorie di massa collegate in rete.
5. Defense Evasion
Tecniche utilizzate per evadere dall’analisi degli antivirus, evitare quindi che gli
antivirus si accorgono che c’è un’infezione in corso. In genere i malware sono codificati
oppure cifrati in modo da rendere più difficile l’analisi del traffico. Nell’attacco a Kaseya il
ransomware è stato distribuito sotto forma di un certificato legittimo con codice identificativo
e firma digitale.
Una tecnica utilizzata è stata Masquerading (T1036) per creare la coppia di Windows
certificate utility con nome diverso e posizionato in directory diversa. In particolare è stata
utilizzata la sotto-tecnica Rename System Utility, perché il software per decodificare il
certificato (che contiene il codice ransomware) fa parte degli utility del sistema operativo
Windows.
Inoltre, è stata utilizzata la tecnica Obfuscated Files or Information (T1027). In
particolare è stata utilizzata la tecnica Binary Padding per appendere del padding al
Windows certificate utility per alterare il checksum. Procedendo in questo modo si cerca di
evadere da eventuale monitoraggio che potrebbe verificare l’utilizzo abusivo di questo
perché è stata modificata la codifica hash.
Dopo aver decodificato il certificato, il malware rimuove sia il certificato iniziale che la
coppia dell’utility per decodificarlo. Questa tecnica è Indicator Removal on Host (T1070) in
particolare, la sotto-tecnica File Deletion, utilizzata per rimuovere tracce del malware.
6. Credential Access
Insieme di tecniche utilizzate per rubare le credenziali degli utenti in diversi modi:
brute force, sfruttare vulnerabilità in Password Manager oppure kill loger.
Durante l’attacco a Kaseya non sono state rilevate tecniche di questa categoria.
7. Discovery
8. Lateral Movement
5
Insieme di tecniche che permettono all’avversario di entrare e prendere il controllo remoto di
sistemi in rete. Una tecnica utilizzata all’inizio dell’attacco è stata Use Alternate
Authentication Material (T1550), in particolare gli attaccanti hanno utilizzato Web Session
Cookie per accedere ai server di Kaseya.
9. Collection
Non sono state identificate tecniche di raccolta informazioni dei clienti - vittime di questo
attacco ransomware.
11. Exfiltration
L’obiettivo è di rubare i dati della vittima. Ma in questo attacco l’obiettivo è stato di cifrare tutti
i file. Le uniche informazioni trasmesse in remoto sono le chiavi generate per la cifratura.
12. Impact
Inoltre, non prevedeva di cifrare file con le seguenti estensioni: "ps1", "ldf", "lock", "theme",
"msi", "sys", "wpx", "cpl", "adv", "msc", "scr", "bat", "key", "ico", "dll", "hta",
"deskthemepack", "nomedia", "msu", "rtp", "msp", "idx", "ani", "386", "diagcfg", "bin",
6
"mod", "ics", "com", "hlp", "spl", "nls", "cab", "exe", "diagpkg", "icl", "ocx", "rom", "prf",
"themepack", "msstyles", "lnk", "icns", "mpa", "drv", "cur", "diagcab", "cmd", "shs".
Da questa lista si può notare che l’obiettivo era proprio quello di cifrare i documenti, disegni,
progetti, contratti, report ed altri legati alle compagnie, le estensioni dei quali non si trovano
in elenco.
Un’altra configurazione del ransomware indicava la lista delle macchine da evitare che come
lingua predefinita si trovava in questo elenco: Russian (Russia), Ukrainian (Ukraine),
Belarusian (Belarus), Tajik (Cyrillic, Tajikistan), Armenian (Armenia), Azerbaijani (Latin,
Azerbaijan), Georgian (Georgia), Kazakh (Kazakhstan), Kyrgyz (Kyrgyzstan), Turkmen
(Turkmenistan), Uzbek (Latin, Uzbekistan), Tatar (Russia), Romanian (Moldova), Russian
(Moldova), Azerbaijan (Cyrillic, Azerbaijan), Uzbek (Cyrillic, Uzbekistan), Syriac (Syria),
Arabic (Syria).
Referenze:
- Virus total -
d55f983c994caa160ec63a59f6b4250fe67fb3e8c43a388aec60a4a6978e9f1e
- Sophos article - Independence Day: REvil uses supply chain exploit to attack
hundreds of businesses
- SpiderLabs Blog - Diving Deeper Into the Kaseya VSA Attack: REvil Returns and
Other Hackers Are Riding Their Coattails