针对Sodinokibi黑客组织供应链攻击Kaseya VSA的分析溯源

前言

2021年7月2日，Sodinokibi(REvil)勒索病毒黑客组织疑似利用0day漏洞，通过Kaseya VSA发起大规模供应链攻击行动，此次事件影响范围广泛，目前瑞典最大链锁超市之一的Coop受此供应链勒索攻击事件影响被迫关闭全国约800多家商店服务。

国内微步在线对此次事件进行了相关分析报道，对Sodinokibi勒索病毒以及这次攻击不太了解的朋友，可以先参考之前的报告，事实上此次的供应链攻击影响还是蛮大的，攻击手法和攻击技术也是非常完整的，Kaseya VSA没有透露过多的攻击细节和漏洞细节，美国网络安全和基础设施安全局对此次供应链攻击事件已经界入调查。

分析溯源

此次Sodinokibi(REvil)勒索病毒黑客组织利用相关漏洞发起供应链攻击，这不是一次简单的攻击行动，笔者没有机会也没有办法去参与到这次的勒索攻击溯源行动，只能根据国外某安全厂商的溯源报告以及其他一些渠道获取到相关的溯源信息，对此次供应链攻击行动进行部分的分析还原，并不完整，更多的攻击细节笔者因为没有拿到相关的文件、日志数据，也没办法进行更深入的分析溯源。

分析系统日志的时候，发现了一个AWS IP地址：18[.]223.199.234发送POST请求，如下所示：

通过分析发现这个userFilterTableRpt.asp中包含大量潜在的SQL注入漏洞，这些漏洞为后面代码执行和破坏VSA服务器提供了基础条件。

同时我们在请求日