信息來(lái)源:mottoin
為了在一次攻擊中大規(guī)模感染客戶(hù)�����,勒索軟件分發(fā)者現(xiàn)在已經(jīng)開(kāi)始針對(duì)托管服務(wù)供應(yīng)商(MSP)�����。最近的報(bào)告顯示�����,最近有多個(gè)MSP遭到黑客攻擊�����,導(dǎo)致數(shù)百個(gè)客戶(hù)感染了GandCrab勒索軟件�����。
隨著勒索軟件越來(lái)越難以通過(guò)垃圾郵件進(jìn)行大規(guī)模分發(fā)�����,攻擊者想出了很多有創(chuàng)意的方法來(lái)感染受害者。這包括入侵RDP�����、租用僵尸網(wǎng)絡(luò)運(yùn)營(yíng)商的服務(wù)以及現(xiàn)在的攻擊MSP�����。
托管服務(wù)提供商(MSP)是為客戶(hù)提供遠(yuǎn)程管理�����、IT基礎(chǔ)架構(gòu)支持和技術(shù)支持的公司�����。MSP的好處是它們可以監(jiān)控客戶(hù)的網(wǎng)絡(luò)�����,并主動(dòng)解決發(fā)現(xiàn)的問(wèn)題�����。
但是�����,MSP需要利用允許他們遠(yuǎn)程訪(fǎng)問(wèn)客戶(hù)網(wǎng)絡(luò)和計(jì)算機(jī)的軟件才能執(zhí)行此類(lèi)操作�����、發(fā)布更新�����、安裝應(yīng)用程序或修復(fù)應(yīng)用程序�����。勒索軟件分發(fā)者現(xiàn)在開(kāi)始利用這種模式攻擊MSP�����,然后利用后端向所有MSP的客戶(hù)分發(fā)勒索軟件和其他惡意軟件�����。
在MSP Reddit頻道最近發(fā)布的一篇文章中�����,用戶(hù)報(bào)告說(shuō)黑客攻擊本地MSP后分發(fā)GandCrab勒索軟件。
勒索軟件修復(fù)公司Coveware的首席執(zhí)行官Bill Siegel表示�����,他們采訪(fǎng)的MSP也遭到了攻擊�����,而且這個(gè)MSP的客戶(hù)中有15%已經(jīng)被安裝了GandCrab�����。
根據(jù)安全咨詢(xún)公司HuntressLabs的說(shuō)法�����,攻擊者可以通過(guò)一個(gè)漏洞來(lái)訪(fǎng)問(wèn) MSP�����,這個(gè)漏洞用于鏈接MSP常用的兩個(gè)用于管理客戶(hù)端并執(zhí)行遠(yuǎn)程管理的軟件產(chǎn)品�����。
已被利用的舊漏洞
MSP用于管理客戶(hù)端的常用產(chǎn)品是ConnectWise和Kaseya。ConnectWise通常用作客戶(hù)關(guān)系管理器和票務(wù)系統(tǒng)�����,Kaseya用于在MSP管理的端點(diǎn)上執(zhí)行遠(yuǎn)程管理�����。
一年多以前�����,Alex Wilson披露了ManagedITSync中的一個(gè)漏洞和概念驗(yàn)證錯(cuò)誤(ManagedITSync是一個(gè)集成ConnectWise與Kaseya的插件)�����。攻擊者可利用此漏洞在Kaseya中執(zhí)行各種命令�����,包括重置管理員密碼�����。
根據(jù)MSP安全公司Huntress Labs在LinkedIn中發(fā)布的帖子�����,勒索軟件分發(fā)者正在利用此漏洞攻擊MSP�����。
Huntress Labs在LinkedIn中發(fā)布的帖子
一旦攻擊者獲得對(duì)Kaseya服務(wù)器的訪(fǎng)問(wèn)權(quán)限�����,他們就可以發(fā)布在Kaseya管理的所有端點(diǎn)上安裝程序的命令�����。在此次攻擊中�����,Huntress Labs聲稱(chēng)所有終點(diǎn)都已感染GandCrab�����。
ConnectWise發(fā)布了一份通報(bào)�����,表明MSP應(yīng)升級(jí)到此插件的最新版本并刪除舊連接器,尤其是ManagedIT.asmx文件�����。他們還發(fā)布了一個(gè)工具�����,該工具可以讓客戶(hù)掃描他們的服務(wù)器以查找易受攻擊的插件�����。
檢查易受攻擊插件的工具
如何檢查自己是否容易受到攻擊�����?
用戶(hù)可以檢查“添加或刪除程序”中是否安裝了ConnectWise MSP Kaseya Web服務(wù)程序�����;也可以檢查VSA服務(wù)器上是否安裝了ManagedIT.asmx文件�����;最后還可以通過(guò)瀏覽https://mykaseyaserver.com/kaseyacwwebservice/managedit.asmx來(lái)訪(fǎng)問(wèn)易受攻擊的頁(yè)面�����。
如果易受攻擊該怎么辦�����?
應(yīng)該做的第一件事是立即斷開(kāi)VSA服務(wù)器與互聯(lián)網(wǎng)的連接�����,直到確定它尚未被感染�����。雖然研究人員本周發(fā)現(xiàn)的攻擊立即分發(fā)了勒索軟件�����,但其他攻擊者完全有可能知道這個(gè)漏洞并且可能已經(jīng)在您的系統(tǒng)中占有一席之地�����。斷開(kāi)VSA服務(wù)器將至少阻止攻擊者在檢查期間分發(fā)勒索軟件�����。
然后,徹底檢查您的VSA服務(wù)器以及其他任何關(guān)鍵基礎(chǔ)架構(gòu)是否存在可疑/惡意的地方或可疑帳戶(hù)等�����。
最后�����,在將VSA服務(wù)器重新連接到Internet之前�����,刪除ManagedITSync集成并將其更新到最新版本�����。
國(guó)土安全部發(fā)布有關(guān)攻擊MSP的警告
2018年10月�����,美國(guó)國(guó)土安全部發(fā)布了題為《利用托管服務(wù)提供商的高級(jí)持續(xù)性威脅活動(dòng)》的警報(bào)�����,討論了不良行為者如何針對(duì)MSP獲取其客戶(hù)網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限�����。
雖然沒(méi)有證據(jù)表明目前的勒索軟件攻擊與DHS警報(bào)有關(guān)�����,但它確實(shí)表明攻擊MSP為攻擊者提供了新思路�����。
