VMWare-Benutzer? Besorgt über „ESXi-Ransomware“? Überprüfen Sie jetzt Ihre Patches!

VMWare-Benutzer? Besorgt über „ESXi-Ransomware“? Überprüfen Sie jetzt Ihre Patches!

Zeitstempel: 7. Februar 2023, 2:59 Uhr
Quellknoten: 1945764
by Paul Ducklin

Die Nachrichten zur Cybersicherheit werden derzeit zumindest in Europa von Geschichten über „VMWare ESXi Ransomware“ dominiert, die im wörtlichen und (zumindest im kryptografischen Sinne) übertragenen Sinn die Runde machen.

CERT-FR, das Computer-Notfallteam der französischen Regierung, startete das, was sich Ende letzter Woche schnell in eine Mini-Panik verwandelte, mit einem Bulletin mit dem einfachen Titel: Kampagne zur Ausbeutung einer Schwachstelle für VMware ESXi (Cyberangriff, der eine Schwachstelle in VMWare ESXi ausnutzt).

Obwohl sich die Überschrift direkt auf die große Gefahr konzentriert, nämlich dass jede aus der Ferne ausnutzbare Schwachstelle Angreifern normalerweise einen Weg in Ihr Netzwerk gibt, um etwas oder vielleicht sogar alles zu tun, was sie wollen …

… die erste Zeile des Berichts gibt die traurige Nachricht, dass die etwas Die Gauner tun in diesem Fall, was die Franzosen nennen Ransomware.

Das muss man wahrscheinlich nicht wissen logiciel ist das französische Wort für „Software“, um den Wortstamm zu erraten ranço- kam sowohl ins moderne Französisch (rançon) und Englisch (Lösegeld) aus dem altfranzösischen Wort Lösegeld, und so dass das Wort direkt ins Englische übersetzt wird als Ransomware.

Im Mittelalter bestand ein Berufsrisiko für Monarchen in Kriegszeiten darin, vom Feind gefangen genommen und festgehalten zu werden Lösegeld, typischerweise unter Strafbedingungen, die den Konflikt effektiv zugunsten der Entführer beilegten.

Heutzutage sind es natürlich Ihre Daten, die „erbeutet“ werden – obwohl sich die Gauner perverserweise nicht die Mühe machen müssen, sie mitzunehmen und sie währenddessen in einem sicheren Gefängnis auf ihrer Seite der Grenze aufzubewahren dich erpressen.

Sie können es einfach „im Ruhezustand“ verschlüsseln und anbieten, Ihnen den Entschlüsselungsschlüssel als Gegenleistung für ihre Strafe zu geben Lösegeld.

Ironischerweise fungieren Sie am Ende als Ihr eigener Gefängniswärter, wobei die Gauner nur ein paar geheime Bytes (in diesem Fall 32 Bytes) aufbewahren müssen, um Ihre Daten so lange wie sie möchten in Ihrem eigenen IT-Bestand eingesperrt zu halten.

Gute und schlechte Nachrichten

Hier sind die guten Nachrichten: Die aktuelle Angriffswelle scheint das Werk einer Boutique-Bande von Cyberkriminellen zu sein, die sich auf zwei spezifische VMWare ESXi-Schwachstellen verlassen, die von VMware dokumentiert und vor etwa zwei Jahren gepatcht wurden.

Mit anderen Worten, die meisten Systemadministratoren würden erwarten, diesen Angreifern spätestens seit Anfang 2021 voraus zu sein, also ist dies definitiv keine Zero-Day-Situation.

Hier die schlechte Nachricht: Wenn Sie die erforderlichen Patches in der langen Zeit seit ihrer Veröffentlichung nicht angewendet haben, besteht nicht nur das Risiko dieses speziellen Ransomware-Angriffs, sondern auch das Risiko von Cyberkriminalität fast jeder Art – Datendiebstahl, Kryptomining, Keylogging, Datenbank Vergiftungen, Point-of-Sale-Malware und Spam-Versand kommen einem sofort in den Sinn.

Hier noch eine weitere schlechte Nachricht: die bei diesem Angriff verwendete Ransomware, die unterschiedlich bezeichnet wird ESXi-Ransomware und ESXiArgs-Ransomware, scheint ein Allzweck-Paar von Malware-Dateien zu sein, von denen eine ein Shell-Skript und die andere ein Linux-Programm (auch als binär or ausführbar Datei).

Mit anderen Worten, obwohl Sie unbedingt gegen diese VMWare-Bugs der alten Schule patchen müssen, wenn Sie dies noch nicht getan haben, gibt es nichts an dieser Malware, das sie untrennbar daran hindert, nur über VMWare-Schwachstellen anzugreifen oder nur VMWare-bezogene Datendateien anzugreifen.

Tatsächlich beziehen wir uns nur beim Namen auf die Ransomware Argumente in diesem Artikel, um den Eindruck zu vermeiden, dass es entweder speziell durch VMWare ESXi-Systeme und -Dateien verursacht wird oder nur gegen diese verwendet werden kann.

So funktioniert's

Laut CERT-FR. Die beiden Schwachstellen, auf die Sie sofort achten müssen, sind:

  • CVE-2021-21974 von VMSA-2021-0002. ESXi OpenSLP Heap-Overflow-Schwachstelle. Ein böswilliger Akteur, der sich im selben Netzwerksegment wie ESXi befindet und Zugriff auf Port 427 hat, kann möglicherweise [ein] Heap-Overflow-Problem in [dem] OpenSLP-Dienst auslösen, was zur Remotecodeausführung führt.
  • CVE-2020-3992 von VMSA-2020-0023. ESXi OpenSLP-Schwachstelle bei der Remote-Codeausführung. Ein im Verwaltungsnetzwerk ansässiger böswilliger Akteur, der Zugriff auf Port 427 auf einem ESXi-Computer hat, kann möglicherweise eine Use-after-free-Funktion im OpenSLP-Dienst auslösen, die zur Remotecodeausführung führt.

In beiden Fällen lautete der offizielle Rat von VMWare, wenn möglich zu patchen oder, wenn Sie das Patchen für eine Weile aufschieben mussten, das betroffene SLP zu deaktivieren (Dienstortungsprotokoll) Bedienung.

VMWare hat eine Seite mit langjährigen Anleitungen zur Umgehung SLP-Sicherheitsprobleme, einschließlich Skriptcode zum vorübergehenden Deaktivieren und erneuten Aktivieren von SLP, sobald Sie gepatcht sind.

Der Schaden bei diesem Angriff

In diesem Argumente Angriff, der Sprengkopf, den die Gauner offenbar entfesseln, sobald sie Zugriff auf Ihr ESXi-Ökosystem haben, enthält die folgende Befehlsfolge.

Wir haben die kritischen ausgewählt, um diese Beschreibung kurz zu halten:

  • Beenden Sie laufende virtuelle Maschinen. Die Gauner tun dies nicht anmutig, sondern indem sie einfach jeden senden vmx verarbeiten a SIGKILL (kill -9), um das Programm so schnell wie möglich zum Absturz zu bringen. Wir gehen davon aus, dass dies eine schnelle und schmutzige Methode ist, um sicherzustellen, dass alle VMWare-Dateien, die sie verschlüsseln möchten, entsperrt sind und daher im Lese-/Schreibmodus erneut geöffnet werden können.
  • Exportieren Sie eine ESXi-Dateisystem-Volume-Liste. Die Gauner nutzen die esxcli storage filesystem list Befehl, um eine Liste der zu bearbeitenden ESXi-Volumes abzurufen.
  • Finden Sie wichtige VMWare-Dateien für jedes Volume. Die Gauner nutzen die find Befehl auf jedem Volume in Ihrem /vmfs/volumes/ Verzeichnis, um Dateien aus dieser Liste von Erweiterungen zu finden: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram und .vmem.
  • Rufen Sie für jede gefundene Datei ein allgemeines Dateiverschlüsselungstool auf. Ein Programm namens encrypt, hochgeladen von den Gaunern, wird verwendet, um jede Datei einzeln in einem separaten Prozess zu verschlüsseln. Die Verschlüsselungen erfolgen daher parallel im Hintergrund, anstatt dass das Skript darauf wartet, dass jede Datei der Reihe nach verschlüsselt wird.

Sobald die Hintergrundverschlüsselungsaufgaben gestartet wurden, ändert das Malware-Skript einige Systemdateien, um sicherzustellen, dass Sie wissen, was als Nächstes zu tun ist.

Wir haben keine eigenen Kopien tatsächlicher Lösegeldscheine, die die Argumente Gauner verwendet haben, aber wir können Ihnen sagen, wo Sie nach ihnen suchen können, wenn Sie sie nicht selbst gesehen haben, denn das Skript:

  • Ersetzt Ihre /etc/motd Datei mit einer Lösegeldforderung. Der Name motd ist die Abkürzung für Nachricht des Tages, und Ihre ursprüngliche Version wird verschoben /etc/motd1, sodass Sie das Vorhandensein einer Datei mit diesem Namen als groben Indikator für eine Kompromittierung (IoC) verwenden könnten.
  • Ersetzt alle index.html Dateien in der /usr/lib/vmware Baum mit einer Lösegeldforderung. Auch hier werden die Originaldateien umbenannt, diesmal in index1.html. Dateien aufgerufen index.html sind die Homepages für alle VMWare-Webportale, die Sie möglicherweise in Ihrem Browser öffnen.

Nach dem, was wir gehört haben, sind die geforderten Lösegelder in Bitcoin, variieren aber sowohl in der genauen Höhe als auch in der Wallet-ID, in die sie eingezahlt werden sollen, vielleicht um zu vermeiden, dass es offensichtlich wird Zahlungsmuster in der BTC-Blockchain.

Es scheint jedoch, dass die Erpressungszahlung normalerweise auf etwa 2 BTC festgelegt ist, derzeit knapp unter 50,000 US-Dollar.

MEHR ERFAHREN: ZAHLUNGSMUSTER IN DER BLOCKCHAIN

Der Verschlüssler in Kürze

Das encrypt Das Programm ist effektiv ein eigenständiges Tool zum Verschlüsseln einer Datei nach dem anderen.

Angesichts der Funktionsweise gibt es jedoch keinen denkbaren legitimen Zweck für diese Datei.

Vermutlich um beim Verschlüsseln Zeit zu sparen, da Images virtueller Maschinen typischerweise viele Gigabyte oder sogar Terabyte groß sind, können dem Programm Parameter gegeben werden, die es anweisen, einige Teile der Datei zu verschlüsseln, während der Rest in Ruhe gelassen wird.

Vereinfacht gesagt, die Argumente Malware erledigt ihre Drecksarbeit mit einer Funktion namens encrypt_simple() (Tatsächlich ist es überhaupt nicht einfach, weil es auf eine komplizierte Weise verschlüsselt, die kein echtes Sicherheitsprogramm jemals verwenden würde), was in etwa so abläuft.

Die Werte von FILENAME, PEMFILE, M und N unten kann zur Laufzeit auf der Befehlszeile angegeben werden.

Beachten Sie, dass die Malware eine eigene Implementierung des Sosemanuk-Chiffrieralgorithmus enthält, obwohl sie für die verwendeten Zufallszahlen und für die RSA-Public-Key-Verarbeitung auf OpenSSL angewiesen ist:

  1. Generieren PUBKEY, einen öffentlichen RSA-Schlüssel, durch Einlesen PEMFILE.
  2. Generieren RNDKEY, ein zufälliger, symmetrischer 32-Byte-Verschlüsselungsschlüssel.
  3. Gehen Sie zum Anfang von FILENAME
  4. Einlesen M Megabyte ab FILENAME.
  5. Verschlüsseln Sie diese Daten mit der Sosemanuk-Stream-Chiffre RNDKEY.
  6. Überschreiben Sie diese gleich M Megabyte in der Datei mit den verschlüsselten Daten.
  7. Nach vorne springen N Megabyte in der Datei.
  8. GOTO 4 wenn es noch Daten zum sramblen gibt.
  9. Zum Ende springen FILENAME.
  10. Verwenden Sie zum Scramblen die RSA-Verschlüsselung mit öffentlichen Schlüsseln RNDKEYunter Verwendung von PUBKEY.
  11. Hängen Sie den verschlüsselten Entschlüsselungsschlüssel an FILENAME.

In der Skriptdatei haben wir geschaut, wo die Angreifer das aufrufen encrypt Programm, scheinen sie gewählt zu haben M 1MByte sein, und N 99 MB groß sein, sodass sie tatsächlich nur 1 % aller Dateien verschlüsseln, die größer als 100 MB sind.

Dies bedeutet, dass sie ihren Schaden schnell anrichten, Ihre VMs jedoch mit ziemlicher Sicherheit unbrauchbar und sehr wahrscheinlich nicht wiederherstellbar machen.

Das Überschreiben der ersten 1 MByte macht ein Image normalerweise nicht mehr bootfähig, was schlimm genug ist, und das Verschlüsseln von 1 % des Rests des Images, wobei der Schaden über die gesamte Datei verteilt ist, stellt eine große Menge an Beschädigung dar.

Dieser Grad der Beschädigung könnte einige Originaldaten zurücklassen, die Sie aus den Ruinen der Datei extrahieren könnten, aber wahrscheinlich nicht viel, daher raten wir davon ab, sich auf die Tatsache zu verlassen, dass 99 % der Datei „immer noch in Ordnung“ sind Vorsichtsmaßnahme, da alle Daten, die Sie auf diese Weise wiederherstellen, als Glücksfall und nicht als gute Planung angesehen werden sollten.

Wenn die Gauner das Gegenstück zum privaten Schlüssel zum öffentlichen Schlüssel in sich behalten PEMFILE geheim, es besteht kaum eine Chance, dass Sie es jemals entschlüsseln könnten RNDKEY, was bedeutet, dass Sie die verschlüsselten Teile der Datei nicht selbst wiederherstellen können.

Daher die Ransomware-Nachfrage.

Was ist zu tun?

Ganz einfach:

  • Überprüfen Sie, ob Sie die erforderlichen Patches haben. Auch wenn Sie „wissen“, dass Sie sie direkt bei der Veröffentlichung angewendet haben, überprüfen Sie dies noch einmal, um sicherzugehen. Oft muss nur ein Loch freigelassen werden, um Angreifern einen Brückenkopf zum Eindringen zu bieten.
  • Überprüfen Sie Ihre Backup-Prozesse erneut. Stellen Sie sicher, dass Sie eine zuverlässige und effektive Möglichkeit haben, verlorene Daten in angemessener Zeit wiederherzustellen, wenn eine Katastrophe eintritt, ob durch Ransomware oder nicht. Warten Sie nicht bis nach einem Ransomware-Angriff, um festzustellen, dass Sie ohnehin vor dem Dilemma stehen, zu zahlen, weil Sie das Wiederherstellen nicht geübt haben und es nicht effizient genug tun können.
  • Wenn Sie sich nicht sicher sind oder keine Zeit haben, bitten Sie um Hilfe. Unternehmen wie Sophos bieten beides XDR (erweiterte Erkennung und Reaktion) und MDR (verwaltete Erkennung und Reaktion), die Ihnen dabei helfen kann, über das bloße Warten auf Anzeichen von Problemen hinauszugehen, die auf Ihrem Dashboard auftauchen. Es ist keine Ausrede, jemand anderen um Hilfe zu bitten, vor allem, wenn die Alternative darin besteht, einfach keine Zeit zu haben, sich selbst auf den neuesten Stand zu bringen.

Zeitstempel:

Mehr von Nackte Sicherheit