Maintain a current list of what is installed on each managed machine with scheduled hardware and software audits. Get automatic notification immediately when an audit detects any change.
Software Install / Patch Management
Deploy software updates and new software installations to an entire organization with a single click.
Support users even without Kaseya agents, using the same remote control technology that provides easy access through any network configuration. Track and document what was done on one or multiple machines with the included Administrator Notes Database. Integrated reports deliver the history of what actions each administrator has performed and the status of each managed machine.
View and operate managed machines as if they were right in front of you. Reach managed machines through firewalls without opening new ports! Reach managed machines behind a gateway (NAT) or firewall without port mapping! Leverages best of breed remote control programs: WinVNC, RAdmin, pcAnywhere, and Terminal Server.
Integrated FTP with simple drag and drop file transfer to any managed machine, even behind NAT and firewalls.
Network Policy Enforcement
Monitor network usage by machine and by application. Limit network access to only corporate approved applications.
Get instant notification when: — a server or desktop goes offline — a user installs a new application — a user removes an application — a user removes or adds a PCI card — machine runs low on disk space — protected file accessed or modified — unapproved network access Event Log Monitor Captures and consolidates NT event logs. Instantly receive an alert when events occur. Easily configure your alert notification to be as general as when any NT error event occurs, or as specific as when an NT event with a particular ID occurs.
Generate comprehensive reports detailing any single managed machine or an entire network.
Install the Kaseya VSA server quickly within five minutes on any Windows NT4 or higher server running IIS and MS-SQL.
Minimum System Requirements Server Requirements Hardware 450 MHz Pentium II-class CPU or greater 256 MB of RAM 300 MB of free disk space Network Interface Card (NIC) Software Microsoft Windows 2000 Server Microsoft Internet Information Server 5.0 Microsoft SQL Server 2000. Not required with the version that includes the database engine. Network TCP/IP
Agent Requirements Hardware 166 MHz Pentium-class CPU or greater 32 MB of RAM 5 MB of free disk space Network Interface Card (NIC) or modem Supported Operating Systems Windows All.
Если кто-нибудь ее юзал, напишите здесь об этом.
———- Чемпион РБП 2007, 2009, КХЛ 08/09, 09/10, NHL 08/09, призер многих других турниров.
Всего записей: 5007 | Зарегистр. 22-07-2002 | Отправлено:18:00 14-05-2003
Мы сейчас занимаемся внедрением этой программы у себя в организации. Я готов с Вами поделиться опытом и знаниями, если у Вас остался интерес к Kaseya
Kaseya vsa что это
Компания Varonis, один из новаторов мирового рынка безопасности и аналитики данных, сообщает о выявлении деталей заражения вредоносным ПО серверов Kaseya VSA, обеспечивающих работу популярного сервиса для удаленного управления и мониторинга информационных инфраструктур. В результате этой атаки были скомпрометированы и зашифрованы тысячи узлов инфраструктуры сотен различных предприятий по всему миру.
С помощью VSA (Virtual System Administrator) решается множество задач по управлению IT-инфраструктурой. Это делает сервисы, подобные Kaseya VSA, идеальным средством скрытого распространения вредоносного ПО. Программное обеспечение VSA используют 37 тысяч клиентов Kaseya.
По некоторым данным, атака затронула не менее шестидесяти прямых клиентов IT-компании и 1500 нижестоящих компаний. Одной из жертв атаки стала крупная сеть супермаркетов в Швеции Coop, которой пришлось закрыть порядка 800 магазинов по всей стране. Зловредное ПО, использованное злоумышленниками в ходе атаки, — вымогатель Sodinokibi, разработанный хакерской группировкой REvil. Это ПО известно тем, что шифрует содержание серверов и общих папок в пораженных инфраструктурах.
Один из схожих инцидентов связан с известной атакой на сервера компании SolarWinds, зафиксированной в декабре прошлого года. Однако, на этот раз нет никаких признаков того, что в ходе инцидента были скомпрометированы серверы самой Kaseya VSA. Для проведения атаки была использована ранее известная уязвимость CVE: CVE-2021–30116. При этом злоумышленники знали о том, что для нее уже готовится выпуск патча и действовали на опережение: в отличие от других атак REvil, которые группировка тщательно готовила в течение продолжительного времени, нынешняя была проведена в короткие сроки.
Компании могут предпринять следующие первоочередные меры реагирования:
Также Varonis подробнее рассказал об атаке.
Varonis Systems– разработчик программных решений для защиты от комплексных кибератак, основанных на поведенческом анализе пользователей и защите данных компании. Компания была основана в 2005 году, став пионером в области управления и контроля неструктурированных данных. По разным источникам, Varonis занимает более 70% мирового рынка в этой области. Среди разработок Varonis решение по аудиту периметра сети и поведенческому анализу, которое помогает заказчикам вовремя выявлять продвинутые кибератаки и защищаться от них. Сегодня у компании более 6000 заказчиков во всем мире.
Kaseya Virtual System Administrator (Kaseya VSA)
Продукт обеспечивает специалистов по администрированию сетей доступом ко всем функциям, необходимым для обслуживания, посредством браузера.
2014: Virtual System Administrator 7.0
По мнению разработчиков, это самое быстрое в мире решение для удаленного управления клиентскими системами. Оно помогает подключиться и решать вопросы удаленным рабочим столом с высокой скоростью и надежностью, даже при значительных задержках соединения.
2016: Trend Micro выпустила плагин для платформы Kaseya VSA
Компания Trend Micro Incorporate объявила в мае 2016 года о выпуске плагина Worry-Free Services для Kaseya VSA — платформы для удаленного управления и мониторинга ИТ-систем. Модуль для Kaseya VSA станет доступен с 21 мая 2016 г. и будет предоставляться бесплатно как часть решения Trend Micro Remote Manager.
«ИТ-среды становятся все сложнее, поэтому ключевыми факторами успеха для поставщиков управляемых услуг сегодня являются автоматизация и централизованное управление, — отметил Партха Панда (Partha Panda), вице-президент Trend Micro по развитию бизнеса и глобальным альянсам. — Интеграция Trend Micro Worry-Free Services с Kaseya VSA позволит заказчикам легко управлять безопасностью решения».
Trend Micro Worry-Free Services представляет собой решение для защиты конечных точек. Оно защищает пользователей от новейших киберугроз, вредоносного программного обеспечения, программ-вымогателей, спама. Продукт обеспечивает защиту персональных компьютеров, серверов и мобильных устройств. Плагин позволяет поставщикам управляемых услуг непосредственно интегрировать Trend Micro с уже имеющейся консолью Kaseya VSA без ущерба для ее функционирования и производительности, подчеркнули разработчики.
С помощью плагина Trend Micro Worry-Free Services для Kaseya VSA поставщики также смогут: мгновенно развертывать решение Worry-Free Services на каждом устройстве по всей базе клиентов; обнаруживать незащищенные устройства; запускать сканирование и обновления непосредственно с консоли Kaseya VSA; посмотреть текущий статус на панели мониторинга.
Как работал эксплойт Kaseya VSA Zero Day
После проверки патча и проверки того, что вектор атаки больше не существует, мы считаем, что пришло время поделиться этими деталями на благо сообщества. Мы твердо верим, что эта информация поможет сообществу специалистов по безопасности в их реакции на атаку, а в более широкой перспективе она поможет отрасли понять, что произошло, чтобы мы могли решить основные проблемы и, в конечном итоге, расширить наши возможности для предотвращения будущих нарушений.
Обзор
Эксплойт использовал четыре уязвимости в приложении Kaseya, которые были связаны, как показано на рисунке ниже.
В этой статье основное внимание будет уделено эксплойту и, следовательно, подробно описаны шаги с 1 по 4. Полезные данные не рассматриваются в этой статье.
Шаг 1. Обход аутентификации [CWE-304]
После поиска dl.asp пытается проверить, соответствует ли предоставленный пароль значениям, хранящимся в базе данных для этого агента. Затем предоставленный пароль сравнивается несколькими способами. Процесс входа в систему показан в псевдокоде ниже:
if password == hash(row[nextAgentPassword] + row[agentGuidStr]) login ok elseif password == hash(row[curAgentPassword] + row[agentGuidStr]) login ok elseif password == hash(row[nextAgentPassword] + row[displayName]) login ok elseif password == hash(row[curAgentPassword] + row[displayName]) login ok elseif password == row[password] login failed else login ok
Как актер получил AgentGuid?
Остается нерешенным вопрос, как злоумышленник получил около 60 (предполагаемое количество жертв VSA) уникальных действительных агентских гидов. Похоже, они просто знали агента Гидов до начала атаки.
Truesec не обнаружил и не знает каких-либо публичных свидетельств, показывающих, как именно были получены эти агент-гиды. Возможно, именно эти случайные гиды агентов могли ограничить воздействие атаки менее чем на 60 из примерно 35 000 клиентов Kaseya VSA.
Шаг 2 и 3. Загрузка файлов [CWE-434] [CWE-352]
Все запросы с этого момента использовали аутентифицированный сеанс, полученный на шаге 1.
Для загрузки файлов злоумышленник отправил POST-запрос с множественными данными на ресурс /cgi-bin/KUpload.dll. Запрос содержал следующие параметры:
Обход защиты CSRF
__RequestValidationToken не был правильно проверен. Например, значение «xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx» было принято как допустимый токен.
Загрузка программы-вымогателя (Agent.crt)
Первой загрузкой, выполненной злоумышленником, был файл с именем agent.crt. Этот файл представлял собой закодированную версию программы-вымогателя, которая позже была отправлена всем агентам со взломанного сервера VSA.
В этом случае, поскольку загрузка файла прошла успешно, возвращенная ссылка была /done.asp?FileName=agent.crt&PathData=WebPages\ManagedFiles\VSATicketFiles\&originalName=agent.crt&FileSize=1221630&TimeElapsed=00:00:00.828
Загрузка полезной нагрузки ASP (Screenshot.jpg)
Злоумышленник загрузил еще один файл с именем Screenshot.jpg. Это был не файл jpg, а текстовый файл, содержащий код ASP. После получения другого значения loadKey из /done.asp злоумышленник загрузил файл. Частичное содержимое запроса можно увидеть на рисунке ниже (к сожалению, был получен только частичный захват, а средняя часть screenshot.jpg отсутствовала).
Ссылка в теле ответа в этом случае была /done.asp?FileName=Screenshot.jpg&PathData=WebPages\ManagedFiles\VSATicketFiles\&originalName=Screenshot.jpg&FileSize=6188&TimeElapsed=00:00:00.016, что означает, что файл был успешно загружен.
Шаг 4 – Выполнение полезной нагрузки на сервере [ CWE-94 ]
Наконец, злоумышленник отправил POST-запрос в /userFilterTableRpt.asp с аргументом pageFilterSQLFile.
Из-за ошибки в userFilterTableRpt.asp содержимое указанного файла будет интерпретироваться как код ASP, поскольку он был передан функции eval. В данном случае ManagedFiles / VSATicketFiles / Screenshot.jpg, текстовый файл ASP-кода, только что загруженный злоумышленником.
Сначала userFilterTableRpt.asp устанавливает переменную из параметра POST. Затем он считывает содержимое указанного файла и передает его eval, который по определению интерпретирует значение аргумента как код. Поток показан в псевдокоде ниже:
f = open (pageFilterSQLFile) c = read (f) eval (c)
Вот и все. Полезная нагрузка ASP была выполнена и начала вытеснять программу-вымогатель, и все мы знаем историю оттуда.
Заключительные слова
Власти США арестовали взломщика компании Kaseya, а также хакеров, связанных с REvil и GandCrab
Linux для хакера
Правоохранительные органы, а также европейские и американские власти всерьез взялись за борьбу с шифровальщиками. За последние несколько дней произошло сразу несколько важных событий.
Операция Cyclone
Операция Cyclone, которую проводили Интерпол, правоохранительные органы Украины и США, длилась более 30 месяцев и была направлена на борьбу с шифровальщиков Clop (он же Cl0p). Именно в рамках этой операции в июне 2021 года были арестованы шесть граждан Украины.
Напомню, что южнокорейская полиция начала расследование в отношении хакеров в прошлом году, после того, группировка атаковала сеть южнокорейского e-commerce гиганта электронной E-Land в ноябре 2020 года. Из-за этой атаки корейская компания закрыла почти все свои магазины. Позже хакеры заявили, что похитили у компании данные 2 000 000 банковских карт, используя PoS-малварь.
Как сообщается теперь, в рамках операции провели более 20 рейдов, в ходе которых были изъяты компьютеры, техника, автомобили и примерно 185 000 долларов. Также стало известно, что в операции принимали участие и ИБ-специалисты, включая экспертов компаний Trend Micro, CDI, «Лаборатории Касперского», Palo Alto Networks, Fortinet и Group-IB.
Взломщик Kaseya
Министерство юстиции США предъявило обвинения 22-летнему гражданину Украины Ярославу Васинскому, которого подозревают в организации вымогательской атаки на серверы компании Kaseya, которая произошла в июле текущего года.
Подозреваемый был задержан в прошлом месяце на основании ордера, выданного в США. Он был арестован польскими властями на пограничном пункте между Украиной в Польшей.
Напомню, что в начале июля клиенты поставщика MSP-решений Kaseya пострадали от масштабной атаки шифровальщика REvil (Sodinokibi). Тогда хакеры использовали 0-day уязвимости в продукте компании (VSA) и через них атаковали клиентов Kaseya. В настоящее время для этих уязвимостей уже выпущены патчи.
Основная проблема заключалась в том, что большинство пострадавших серверов VSA использовались MSP-провайдерами, то есть компаниями, которые управляют инфраструктурой других клиентов. А значит, злоумышленники развернули шифровальщика в тысячах корпоративных сетей. По официальным данным, компрометация затронула около 60 клиентов Kaseya, через инфраструктуру которых хакеры смогли зашифровать примерно 800-1500 корпоративных сетей.
Как теперь заявляют власти, в сети Васинский был известен под ником MrRabotnik (а также Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468, и Affiliate 22) и с 2019 года взламывал компании по всему миру (совершив не менее 2500 атак), затем разворачивая в их инфраструктуре малварь REvil.
Чтобы восстановить свои файлы, жертвы должны были заплатить выкуп хак-группе REvil, и значительную часть этой «прибыли» получал Васинский. Министерство юстиции заявило, что хакер «заработал» 2,3 миллиона долларов, в общей сложности потребовав от компаний более 760 миллионов долларов.
Помимо Васинского, Минюст США также предъявил обвинения второму подозреваемому, который тоже сотрудничал с хак-группой REvil. В судебных документах этот человек фигурирует как 28-лений гражданин России Евгений Полянин (он же LK4D4, Damnating, damn2Life, Noolleds, Antunpitre, Affiliate 23). Сообщается, что он тоже работал с REvil в качестве партнера, взламывая компании от имени группировки.
По мнению властей, Полянин взломал сеть TSM Consulting, провайдера управляемых услуг из Техаса, откуда 16 августа 2019 года он развернул малварь REvil во внутренних сетях как минимум 20 местных правительственных агентств.
Хотя Полянин все еще находится на свободе и разыскивается ФБР, Министерство юстиции заявляет, что специалистам удалось захватить принадлежащую ему криптовалюту на сумму 6,1 млн долларов, которые подозреваемый хранил на счете FTX.
Аресты других участников REvil
На этой неделе Европол объявил об аресте семи подозреваемых, которые работали в качестве партнеров вымогателей REvil (Sodinokibi) и GandCrab, и помогли провести более 7000 вымогательских атак с начала 2019 года. Также в операции принимали участие эксперты компаний Bitdefender, KPN и McAfee.
Напомню, что, по мнению ИБ-специалистов, REvil и GandCrab, управляют одни и те же люди, которые создали малварь и предлагали ее другим преступникам в аренду.
Европол заявляет, что с 2019 года семь подозреваемых, арестованных в Румынии и Кувейте, совершили атаки, в которых суммарно потребовали выкупы на сумму более 230 миллионов долларов.
В заявлении, сделанном Европолом, говорится, что аресты являются результатом операции GoldDust, в которой принимали участие сотрудники правоохранительных органов из 17 стран мира, а также сам Европол, Евроюст и Интерпол.
Санкции для Chatex
Также на этой неделе Министерство финансов США ввело санкции в отношении криптовалютного обменника Chatex, который помогал злоумышленникам осуществлять финансовые транзакции.
«Анализ известных транзакций Chatex показывает, что более половины из них напрямую связаны с незаконной или высокорисковой деятельностью, включая рынки даркнета, обмены с высокой степенью риска и деятельность программ-вымогателей», — заявили представители Министерства финансов.
Официальные лица подчеркивают, что биржа имеет «прямые связи» с российским обмеником Suex, на который в сентябре текущего года тоже были наложены санкции (по тем же причинам).
Как мы уже сообщали ранее, правительство США предложило вознаграждение в размере 10 000 000 долларов за любую информацию, которая может привести к идентификации или аресту участников хак-группы DarkSide.
Подчеркивалось, что эту награду можно получить за любую информацию о главах Darkside, занимающих ключевые позиции в группировке. Если же информатор предоставит данные, которые приведут к аресту партнеров DarkSide (в любой стране), которые помогают хакерам проводить атаки, за эту информацию можно получить до 5 000 000 долларов.
Теперь американские власти предложили аналогичное вознаграждение за любую информацию, которая поможет привести к идентификации или аресту участников хак-группы REvil: 10 млн долларов за руководителей группировки и 5 млн за информацию об аффилированных лицах.
