اخبار امنیت سایبری، حداقل در اروپا، در حال حاضر تحت تسلط داستانهایی درباره «باجافزار VMWare ESXi» است که به معنای واقعی کلمه و (حداقل در یک مفهوم رمزنگاری) به صورت مجازی در حال انجام است.
CERT-FR، تیم واکنش اضطراری کامپیوتری دولت فرانسه، چیزی را آغاز کرد که به سرعت در انتهای هفته گذشته به یک وحشت کوچک تبدیل شد، با بولتنی با عنوان ساده: Campagne d'Exploitation d'une An vulnérabilité vmware ESXi (حمله سایبری با سوء استفاده از آسیب پذیری VMWare ESXi).
اگرچه تیتر به طور مستقیم بر روی خطر سطح بالا متمرکز است، یعنی هر آسیبپذیری قابل بهرهبرداری از راه دور معمولاً به مهاجمان مسیری را به شبکه شما میدهد تا کاری یا شاید حتی هر کاری را که دوست دارند انجام دهند…
...خط اول گزارش این خبر غم انگیز را می دهد که چیزی کلاهبرداران در این مورد همان چیزی است که فرانسوی ها می گویند باج افزار.
احتمالاً نیازی به دانستن آن ندارید نرمافزار کلمه فرانسوی "نرم افزار" برای حدس زدن است که کلمه ساقه است رانچو- به دو زبان فرانسوی مدرن (فدیه) و انگلیسی (خون بها) از کلمه فرانسوی قدیم باج گیری، و بنابراین این کلمه مستقیماً به انگلیسی ترجمه می شود باجافزار.
در قرون وسطی، یکی از خطرات شغلی پادشاهان در زمان جنگ، اسیر شدن توسط دشمن و نگهداری آن برای مدتی طولانی بود. باج گیری، معمولاً تحت شرایط تنبیهی که عملاً درگیری را به نفع اسیرکنندگان حل می کرد.
این روزها، البته، این داده های شما هستند که "تسخیر" می شوند - اگرچه، به طرز انحرافی، کلاهبرداران در واقع نیازی به زحمت کشیدن آن ندارند و در زندانی امن در کنار مرز خود نگه می دارند. باج گیری از شما
آنها به سادگی می توانند آن را در حالت استراحت رمزگذاری کنند و در ازای مجازات خود، به شما پیشنهاد دهند که کلید رمزگشایی را به شما بدهند. باج گیری.
از قضا، شما در نهایت به عنوان زندانبان خود عمل می کنید، در حالی که کلاهبرداران باید فقط چند بایت مخفی (در این مورد 32 بایت) نگه دارند تا داده های شما را تا زمانی که دوست دارند در دارایی IT خود شما قفل کنند.
خبرهای خوب و خبرهای بد
این خبر خوب است: به نظر میرسد که حملات کنونی کار یک باند بوتیک از مجرمان سایبری است که بر دو آسیبپذیری خاص VMWare ESXi تکیه میکنند که توسط VMware مستند شده و حدود دو سال پیش وصله شدهاند.
به عبارت دیگر، اکثر sysadmin ها انتظار دارند حداکثر از اوایل سال 2021 از این مهاجمان جلوتر باشند، بنابراین قطعاً این یک وضعیت روز صفر نیست.
خبر بد اینجاست: اگر وصلههای مورد نیاز را در مدت زمان طولانی از زمان انتشار آنها اعمال نکردهاید، نه تنها در معرض خطر این حمله باجافزار خاص قرار دارید، بلکه در معرض خطر جرایم سایبری تقریباً از هر نوع مانند سرقت دادهها، استخراج رمزنگاری، keylogging، پایگاه داده قرار دارید. مسمومیت، بدافزار نقطه فروش و ارسال هرزنامه بلافاصله به ذهنتان می رسد.
در اینجا چند خبر بد دیگر وجود دارد: باج افزار مورد استفاده در این حمله که مشاهده خواهید کرد با نام های مختلفی از آن یاد می شود باج افزار ESXi و باج افزار ESXiArgs، به نظر می رسد یک جفت فایل بدافزار همه منظوره باشد، یکی یک اسکریپت پوسته و دیگری یک برنامه لینوکس (همچنین به نام دوتایی or قابل اجرا فایل).
به عبارت دیگر، اگرچه اگر قبلاً این کار را نکردهاید، کاملاً نیاز دارید که باگهای قدیمی VMWare را اصلاح کنید، اما چیزی در مورد این بدافزار وجود ندارد که آن را به طور جداییناپذیری قفل کند تا فقط از طریق آسیبپذیریهای VMWare حمله کند یا فقط به فایلهای داده مربوط به VMWare حمله کند.
در واقع، ما فقط به باج افزار با نام اشاره می کنیم ارگ در این مقاله، برای جلوگیری از ایجاد این تصور که یا به طور خاص توسط سیستمها و فایلهای VMWare ESXi ایجاد شده یا فقط میتواند علیه آنها استفاده شود.
چگونه کار می کند
طبق CERT-FR. دو آسیب پذیری که باید فوراً به آنها توجه کنید عبارتند از:
- CVE-2021-21974 از VMSA-2021-0002. آسیب پذیری ESXi OpenSLP heap-overflow. یک عامل مخرب ساکن در همان بخش شبکه ESXi که به پورت 427 دسترسی دارد، ممکن است بتواند [یک] مشکل سرریز پشته را در [] سرویس OpenSLP ایجاد کند که منجر به اجرای کد از راه دور می شود.
- CVE-2020-3992 از VMSA-2020-0023. آسیب پذیری اجرای کد از راه دور ESXi OpenSLP. یک عامل مخرب ساکن در شبکه مدیریت که به پورت 427 در یک دستگاه ESXi دسترسی دارد، ممکن است بتواند یک استفاده پس از رایگان را در سرویس OpenSLP راهاندازی کند که منجر به اجرای کد از راه دور میشود.
در هر دو مورد، توصیه رسمی VMWare این بود که در صورت امکان وصله کنید، یا اگر نیاز داشتید وصله را برای مدتی به تعویق بیندازید، SLP آسیب دیده را غیرفعال کنید (پروتکل مکان خدمات) سرویس.
VMWare صفحه ای با راهنمای طولانی مدت برای کار دارد مشکلات امنیتی SLP، از جمله کد اسکریپت برای خاموش کردن موقت SLP و پس از وصله مجدد دوباره فعال شود.
آسیب در این حمله
در این ارگ حمله، کلاهک جنگی که ظاهراً کلاهبرداران به محض اینکه به اکوسیستم ESXi شما دسترسی پیدا کردند، آزاد میکنند، شامل دستورات زیر میشود.
ما موارد مهم را برای کوتاه نگه داشتن این توضیحات انتخاب کرده ایم:
- ماشین های مجازی در حال اجرا را از بین ببرید. کلاهبرداران این کار را با ظرافت انجام نمی دهند، بلکه به سادگی هر کدام را ارسال می کنند
vmx
فرآیند الفSIGKILL
(kill -9
) برنامه را در اسرع وقت خراب کنید. ما فرض میکنیم که این یک راه سریع و کثیف برای اطمینان از باز شدن تمام فایلهای VMWare است که میخواهند درهم بزنند و بنابراین میتوانند در حالت خواندن/نوشتن دوباره باز شوند. - یک لیست حجم فایل سیستم ESXi را صادر کنید. کلاهبرداران از
esxcli storage filesystem list
دستور برای دریافت لیستی از حجم های ESXi که باید دنبال کنید. - فایل های مهم VMWare را برای هر جلد پیدا کنید. کلاهبرداران از
find
دستور بر روی هر جلد در شما/vmfs/volumes/
دایرکتوری برای یافتن فایل ها از این لیست پسوندها:.vmdk
,.vmx
,.vmxf
,.vmsd
,.vmsn
,.vswp
,.vmss
,.nvram
و.vmem
. - برای هر فایل یافت شده، یک ابزار درهمسازی فایل همه منظوره فراخوانی کنید. برنامه ای به نام
encrypt
، که توسط کلاهبرداران آپلود شده است، برای به هم زدن هر فایل به صورت جداگانه در یک فرآیند جداگانه استفاده می شود. بنابراین، رمزگذاری ها به صورت موازی، در پس زمینه، به جای اینکه اسکریپت منتظر باشد تا هر فایل به نوبه خود درهم شود، اتفاق می افتد.
هنگامی که وظایف رمزگذاری پسزمینه شروع شد، اسکریپت بدافزار برخی از فایلهای سیستم را تغییر میدهد تا مطمئن شود که میدانید چه کاری باید انجام دهید.
ما نسخهای از یادداشتهای باجگیری واقعی که کلاهبرداران استفاده کردهاند نداریم، اما میتوانیم به شما بگوییم اگر خودتان آنها را ندیدهاید، کجا آنها را جستجو کنید، زیرا اسکریپت:
- شما را جایگزین می کند
/etc/motd
فایل با یادداشت باج نامmotd
کوتاه است پیام روز، و نسخه اصلی شما به آن منتقل می شود/etc/motd1
، بنابراین می توانید از وجود فایلی با آن نام به عنوان یک نشانگر خام مصالحه (IoC) استفاده کنید. - جایگزین هر
index.html
پرونده ها در/usr/lib/vmware
درخت با یادداشت باج دوباره، فایل های اصلی تغییر نام داده می شوند، این بار بهindex1.html
. فایل های فراخوانی شدهindex.html
صفحات اصلی برای هر پورتال وب VMWare است که ممکن است در مرورگر خود باز کنید.
با توجه به آنچه ما شنیده ایم، باج های درخواست شده به بیت کوین است، اما هم در مقدار دقیق و هم در شناسه کیف پولی که باید به آن پرداخت شود، متفاوت است، شاید برای جلوگیری از ایجاد آشکار الگوهای پرداخت در بلاک چین BTC.
با این حال، به نظر می رسد که پرداخت باج خواهی معمولاً در حدود BTC 2 تعیین می شود که در حال حاضر کمتر از 50,000 دلار آمریکا است.
بیشتر بیاموزید: الگوهای پرداخت در بلاک چین
برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud
رمزگذار به طور خلاصه
La encrypt
برنامه، به طور موثر، یک ابزار مستقل، یک فایل در یک زمان است.
با توجه به نحوه کارکرد آن، هیچ هدف قانونی قابل تصوری برای این فایل وجود ندارد.
احتمالاً برای صرفه جویی در زمان در هنگام رمزگذاری، با توجه به اینکه حجم تصاویر ماشین مجازی معمولاً چندین گیگابایت یا حتی ترابایت است، میتوان پارامترهایی را به برنامه داد که به آن دستور میدهد تا برخی از تکههای فایل را درهم کند و بقیه را به حال خود رها کند.
به زبان ساده، بدافزار کار کثیف خود را با تابعی به نام انجام می دهد encrypt_simple()
(در واقع، به هیچ وجه ساده نیست، زیرا به روشی پیچیده رمزگذاری می کند که هیچ برنامه امنیتی واقعی هرگز از آن استفاده نمی کند)، که چیزی شبیه به این است.
ارزش های FILENAME
, PEMFILE
, M
و N
زیر را می توان در زمان اجرا در خط فرمان مشخص کرد.
توجه داشته باشید که بدافزار حاوی پیادهسازی خودش از الگوریتم رمز Sosemanuk است، اگرچه برای اعداد تصادفی که استفاده میکند به OpenSSL و برای پردازش کلید عمومی RSA که انجام میدهد متکی است:
- تولید
PUBKEY
، یک کلید عمومی RSA، با خواندن درPEMFILE
. - تولید
RNDKEY
، یک کلید رمزگذاری متقارن تصادفی 32 بایتی. - برو به ابتدای
FILENAME
- را بخوانید
M
مگابایت ازFILENAME
. - با استفاده از رمزگذاری جریان Sosemanuk، آن دادهها را به هم بزنید
RNDKEY
. - همان ها را بازنویسی کنید
M
مگابایت در فایل با داده های رمزگذاری شده. - به جلو بپرید
N
مگابایت در فایل GOTO 4
اگر داده ای برای به هم زدن باقی مانده باشد.- پرش به انتهای
FILENAME
. - از رمزگذاری کلید عمومی RSA برای تقلب استفاده کنید
RNDKEY
با استفاده ازPUBKEY
. - کلید رمزگشایی درهم را به آن اضافه کنید
FILENAME
.
در فایل اسکریپتی که ما به آن نگاه کردیم، جایی که مهاجمان از آن فراخوانی می کنند encrypt
به نظر می رسد آنها برنامه را انتخاب کرده اند M
1 مگابایت باشد و N
99 مگابایت باشد، به طوری که آنها در واقع فقط 1٪ از فایل های بزرگتر از 100 مگابایت را درهم می کشند.
این بدان معنی است که آنها به سرعت آسیب خود را وارد می کنند، اما تقریباً مطمئناً ماشین های مجازی شما را غیرقابل استفاده و به احتمال زیاد غیرقابل جبران می گذارند.
رونویسی 1 مگابایت اول معمولاً یک تصویر را غیر قابل بوت می کند، که به اندازه کافی بد است، و درهم زدن 1٪ از بقیه تصویر، با آسیب توزیع شده در سراسر فایل، نشان دهنده میزان زیادی از فساد است.
این درجه از فساد ممکن است برخی از دادههای اصلی را به جا بگذارد که میتوانید از خرابههای فایل استخراج کنید، اما احتمالاً زیاد نیست، بنابراین توصیه نمیکنیم به این واقعیت اعتماد کنید که 99٪ از فایل "هنوز خوب است" به عنوان هر نوع دیگری. احتیاط، زیرا هر داده ای که از این طریق بازیابی می کنید باید به عنوان یک شانس خوب در نظر گرفته شود، نه برنامه ریزی خوب.
اگر کلاهبرداران همتای کلید خصوصی را به کلید عمومی در خود نگه دارند PEMFILE
راز، احتمال کمی وجود دارد که بتوانید رمزگشایی کنید RNDKEY
، یعنی شما نمی توانید قسمت های درهم شده فایل را خودتان بازیابی کنید.
بنابراین تقاضای باج افزار.
چه کاری انجام دهید؟
خیلی ساده:
- بررسی کنید که پچ های مورد نیاز را دارید. حتی اگر «میدانید» که آنها را درست زمانی که برای اولین بار بیرون آمدند انجام دادید، دوباره بررسی کنید تا مطمئن شوید. شما اغلب تنها نیاز به ترک یک سوراخ دارید تا به مهاجمان اجازه دهید تا وارد شوند.
- فرآیندهای پشتیبان گیری خود را مجدداً بررسی کنید. مطمئن شوید که در صورت بروز فاجعه، چه از طریق باج افزار یا نه، روش قابل اعتماد و مؤثری برای بازیابی اطلاعات از دست رفته در یک زمان معقول دارید. منتظر نمانید تا پس از حمله باج افزار متوجه شوید که به هر حال در دوراهی پرداخت هزینه گیر کرده اید زیرا بازیابی را تمرین نکرده اید و نمی توانید آن را به اندازه کافی کارآمد انجام دهید.
- اگر مطمئن نیستید یا وقت ندارید، کمک بخواهید. شرکت هایی مانند Sophos هم XDR (تشخیص و پاسخ گسترده) و هم MDR (تشخیص و پاسخ مدیریت شده) را ارائه می دهند که می تواند به شما کمک کند فراتر از انتظار برای ظاهر شدن علائم مشکل در داشبورد خود بروید. کمک خواستن از شخص دیگری یک اختلاس نیست، به خصوص اگر گزینه جایگزین این باشد که هرگز زمانی برای رسیدن به خود نداشته باشید.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/02/07/using-vmware-worried-about-esxi-ransomware-check-your-patches-now/