اخبار امنیت سایبری، حداقل در اروپا، در حال حاضر تحت تسلط داستانهایی درباره «باجافزار VMWare ESXi» است که به معنای واقعی کلمه و (حداقل در یک مفهوم رمزنگاری) به صورت مجازی در حال انجام است.
CERT-FR، تیم واکنش اضطراری کامپیوتری دولت فرانسه، چیزی را آغاز کرد که به سرعت در انتهای هفته گذشته به یک وحشت کوچک تبدیل شد، با بولتنی با عنوان ساده: Campagne d'Exploitation d'une An vulnérabilité vmware ESXi (حمله سایبری با سوء استفاده از آسیب پذیری VMWare ESXi).
اگرچه تیتر به طور مستقیم بر روی خطر سطح بالا متمرکز است، یعنی هر آسیبپذیری قابل بهرهبرداری از راه دور معمولاً به مهاجمان مسیری را به شبکه شما میدهد تا کاری یا شاید حتی هر کاری را که دوست دارند انجام دهند…
...خط اول گزارش این خبر غم انگیز را می دهد که چیزی کلاهبرداران در این مورد همان چیزی است که فرانسوی ها می گویند باج افزار.
احتمالاً نیازی به دانستن آن ندارید نرمافزار کلمه فرانسوی "نرم افزار" برای حدس زدن است که کلمه ساقه است رانچو- به دو زبان فرانسوی مدرن (فدیه) و انگلیسی (خون بها) از کلمه فرانسوی قدیم باج گیری، و بنابراین این کلمه مستقیماً به انگلیسی ترجمه می شود باجافزار.
در قرون وسطی، یکی از خطرات شغلی پادشاهان در زمان جنگ، اسیر شدن توسط دشمن و نگهداری آن برای مدتی طولانی بود. باج گیری، معمولاً تحت شرایط تنبیهی که عملاً درگیری را به نفع اسیرکنندگان حل می کرد.
این روزها، البته، این داده های شما هستند که "تسخیر" می شوند - اگرچه، به طرز انحرافی، کلاهبرداران در واقع نیازی به زحمت کشیدن آن ندارند و در زندانی امن در کنار مرز خود نگه می دارند. باج گیری از شما
آنها به سادگی می توانند آن را در حالت استراحت رمزگذاری کنند و در ازای مجازات خود، به شما پیشنهاد دهند که کلید رمزگشایی را به شما بدهند. باج گیری.
از قضا، شما در نهایت به عنوان زندانبان خود عمل می کنید، در حالی که کلاهبرداران باید فقط چند بایت مخفی (در این مورد 32 بایت) نگه دارند تا داده های شما را تا زمانی که دوست دارند در دارایی IT خود شما قفل کنند.
خبرهای خوب و خبرهای بد
این خبر خوب است: به نظر میرسد که حملات کنونی کار یک باند بوتیک از مجرمان سایبری است که بر دو آسیبپذیری خاص VMWare ESXi تکیه میکنند که توسط VMware مستند شده و حدود دو سال پیش وصله شدهاند.
به عبارت دیگر، اکثر sysadmin ها انتظار دارند حداکثر از اوایل سال 2021 از این مهاجمان جلوتر باشند، بنابراین قطعاً این یک وضعیت روز صفر نیست.
خبر بد اینجاست: اگر وصلههای مورد نیاز را در مدت زمان طولانی از زمان انتشار آنها اعمال نکردهاید، نه تنها در معرض خطر این حمله باجافزار خاص قرار دارید، بلکه در معرض خطر جرایم سایبری تقریباً از هر نوع مانند سرقت دادهها، استخراج رمزنگاری، keylogging، پایگاه داده قرار دارید. مسمومیت، بدافزار نقطه فروش و ارسال هرزنامه بلافاصله به ذهنتان می رسد.
در اینجا چند خبر بد دیگر وجود دارد: باج افزار مورد استفاده در این حمله که مشاهده خواهید کرد با نام های مختلفی از آن یاد می شود باج افزار ESXi و باج افزار ESXiArgs، به نظر می رسد یک جفت فایل بدافزار همه منظوره باشد، یکی یک اسکریپت پوسته و دیگری یک برنامه لینوکس (همچنین به نام دوتایی or قابل اجرا فایل).
به عبارت دیگر، اگرچه اگر قبلاً این کار را نکردهاید، کاملاً نیاز دارید که باگهای قدیمی VMWare را اصلاح کنید، اما چیزی در مورد این بدافزار وجود ندارد که آن را به طور جداییناپذیری قفل کند تا فقط از طریق آسیبپذیریهای VMWare حمله کند یا فقط به فایلهای داده مربوط به VMWare حمله کند.
در واقع، ما فقط به باج افزار با نام اشاره می کنیم ارگ در این مقاله، برای جلوگیری از ایجاد این تصور که یا به طور خاص توسط سیستمها و فایلهای VMWare ESXi ایجاد شده یا فقط میتواند علیه آنها استفاده شود.
چگونه کار می کند
طبق CERT-FR. دو آسیب پذیری که باید فوراً به آنها توجه کنید عبارتند از:
- CVE-2021-21974 از VMSA-2021-0002. آسیب پذیری ESXi OpenSLP heap-overflow. یک عامل مخرب ساکن در همان بخش شبکه ESXi که به پورت 427 دسترسی دارد، ممکن است بتواند [یک] مشکل سرریز پشته را در [] سرویس OpenSLP ایجاد کند که منجر به اجرای کد از راه دور می شود.
- CVE-2020-3992 از VMSA-2020-0023. آسیب پذیری اجرای کد از راه دور ESXi OpenSLP. یک عامل مخرب ساکن در شبکه مدیریت که به پورت 427 در یک دستگاه ESXi دسترسی دارد، ممکن است بتواند یک استفاده پس از رایگان را در سرویس OpenSLP راهاندازی کند که منجر به اجرای کد از راه دور میشود.
در هر دو مورد، توصیه رسمی VMWare این بود که در صورت امکان وصله کنید، یا اگر نیاز داشتید وصله را برای مدتی به تعویق بیندازید، SLP آسیب دیده را غیرفعال کنید (پروتکل مکان خدمات) سرویس.
VMWare صفحه ای با راهنمای طولانی مدت برای کار دارد مشکلات امنیتی SLP، از جمله کد اسکریپت برای خاموش کردن موقت SLP و پس از وصله مجدد دوباره فعال شود.
آسیب در این حمله
در این ارگ حمله، کلاهک جنگی که ظاهراً کلاهبرداران به محض اینکه به اکوسیستم ESXi شما دسترسی پیدا کردند، آزاد میکنند، شامل دستورات زیر میشود.
ما موارد مهم را برای کوتاه نگه داشتن این توضیحات انتخاب کرده ایم:
- ماشین های مجازی در حال اجرا را از بین ببرید. کلاهبرداران این کار را با ظرافت انجام نمی دهند، بلکه به سادگی هر کدام را ارسال می کنند
vmx
فرآیند الفSIGKILL
(kill -9
) برنامه را در اسرع وقت خراب کنید. ما فرض میکنیم که این یک راه سریع و کثیف برای اطمینان از باز شدن تمام فایلهای VMWare است که میخواهند درهم بزنند و بنابراین میتوانند در حالت خواندن/نوشتن دوباره باز شوند. - یک لیست حجم فایل سیستم ESXi را صادر کنید. کلاهبرداران از
esxcli storage filesystem list
دستور برای دریافت لیستی از حجم های ESXi که باید دنبال کنید. - فایل های مهم VMWare را برای هر جلد پیدا کنید. کلاهبرداران از
find
دستور بر روی هر جلد در شما/vmfs/volumes/
دایرکتوری برای یافتن فایل ها از این لیست پسوندها:.vmdk
,.vmx
,.vmxf
,.vmsd
,.vmsn
,.vswp
,.vmss
,.nvram
و.vmem
. - برای هر فایل یافت شده، یک ابزار درهمسازی فایل همه منظوره فراخوانی کنید. برنامه ای به نام
encrypt
، که توسط کلاهبرداران آپلود شده است، برای به هم زدن هر فایل به صورت جداگانه در یک فرآیند جداگانه استفاده می شود. بنابراین، رمزگذاری ها به صورت موازی، در پس زمینه، به جای اینکه اسکریپت منتظر باشد تا هر فایل به نوبه خود درهم شود، اتفاق می افتد.
هنگامی که وظایف رمزگذاری پسزمینه شروع شد، اسکریپت بدافزار برخی از فایلهای سیستم را تغییر میدهد تا مطمئن شود که میدانید چه کاری باید انجام دهید.
ما کپی خودمان از هیچ یادداشت باج واقعی نداریم ارگ کلاهبرداران استفاده کردهاند، اما میتوانیم به شما بگوییم اگر خودتان آنها را ندیدهاید، کجا به دنبال آنها بگردید، زیرا اسکریپت:
- شما را جایگزین می کند
/etc/motd
فایل با یادداشت باج نامmotd
کوتاه است پیام روز، و نسخه اصلی شما به آن منتقل می شود/etc/motd1
، بنابراین می توانید از وجود فایلی با آن نام به عنوان یک نشانگر خام مصالحه (IoC) استفاده کنید. - جایگزین هر
index.html
پرونده ها در/usr/lib/vmware
درخت با یادداشت باج دوباره، فایل های اصلی تغییر نام داده می شوند، این بار بهindex1.html
. فایل های فراخوانی شدهindex.html
صفحات اصلی برای هر پورتال وب VMWare است که ممکن است در مرورگر خود باز کنید.
با توجه به آنچه ما شنیده ایم، باج های درخواست شده به بیت کوین است، اما هم در مقدار دقیق و هم در شناسه کیف پولی که باید به آن پرداخت شود، متفاوت است، شاید برای جلوگیری از ایجاد آشکار الگوهای پرداخت در بلاک چین BTC.
با این حال، به نظر می رسد که پرداخت باج خواهی معمولاً در حدود BTC 2 تعیین می شود که در حال حاضر کمتر از 50,000 دلار آمریکا است.
بیشتر بیاموزید: الگوهای پرداخت در بلاک چین
رمزگذار به طور خلاصه
La encrypt
برنامه، به طور موثر، یک ابزار مستقل، یک فایل در یک زمان است.
با توجه به نحوه کارکرد آن، هیچ هدف قانونی قابل تصوری برای این فایل وجود ندارد.
احتمالاً برای صرفه جویی در زمان در هنگام رمزگذاری، با توجه به اینکه حجم تصاویر ماشین مجازی معمولاً چندین گیگابایت یا حتی ترابایت است، میتوان پارامترهایی را به برنامه داد که به آن دستور میدهد تا برخی از تکههای فایل را درهم کند و بقیه را به حال خود رها کند.
به زبان ساده، ارگ بدافزار کار کثیف خود را با تابعی به نام انجام می دهد encrypt_simple()
(در واقع، به هیچ وجه ساده نیست، زیرا به روشی پیچیده رمزگذاری می کند که هیچ برنامه امنیتی واقعی هرگز از آن استفاده نمی کند)، که چیزی شبیه به این است.
ارزش های FILENAME
, PEMFILE
, M
و N
زیر را می توان در زمان اجرا در خط فرمان مشخص کرد.
توجه داشته باشید که بدافزار حاوی پیادهسازی خودش از الگوریتم رمز Sosemanuk است، اگرچه برای اعداد تصادفی که استفاده میکند به OpenSSL و برای پردازش کلید عمومی RSA که انجام میدهد متکی است:
- تولید
PUBKEY
، یک کلید عمومی RSA، با خواندن درPEMFILE
. - تولید
RNDKEY
، یک کلید رمزگذاری متقارن تصادفی 32 بایتی. - برو به ابتدای
FILENAME
- را بخوانید
M
مگابایت ازFILENAME
. - با استفاده از رمزگذاری جریان Sosemanuk، آن دادهها را به هم بزنید
RNDKEY
. - همان ها را بازنویسی کنید
M
مگابایت در فایل با داده های رمزگذاری شده. - به جلو بپرید
N
مگابایت در فایل GOTO 4
اگر داده ای برای به هم زدن باقی مانده باشد.- پرش به انتهای
FILENAME
. - از رمزگذاری کلید عمومی RSA برای تقلب استفاده کنید
RNDKEY
با استفاده ازPUBKEY
. - کلید رمزگشایی درهم را به آن اضافه کنید
FILENAME
.
در فایل اسکریپتی که ما به آن نگاه کردیم، جایی که مهاجمان از آن فراخوانی می کنند encrypt
به نظر می رسد آنها برنامه را انتخاب کرده اند M
1 مگابایت باشد و N
99 مگابایت باشد، به طوری که آنها در واقع فقط 1٪ از فایل های بزرگتر از 100 مگابایت را درهم می کشند.
این بدان معنی است که آنها به سرعت آسیب خود را وارد می کنند، اما تقریباً مطمئناً ماشین های مجازی شما را غیرقابل استفاده و به احتمال زیاد غیرقابل جبران می گذارند.
رونویسی 1 مگابایت اول معمولاً یک تصویر را غیر قابل بوت می کند، که به اندازه کافی بد است، و درهم زدن 1٪ از بقیه تصویر، با آسیب توزیع شده در سراسر فایل، نشان دهنده میزان زیادی از فساد است.
این درجه از فساد ممکن است برخی از دادههای اصلی را به جا بگذارد که میتوانید از خرابههای فایل استخراج کنید، اما احتمالاً زیاد نیست، بنابراین توصیه نمیکنیم به این واقعیت اعتماد کنید که 99٪ از فایل "هنوز خوب است" به عنوان هر نوع دیگری. احتیاط، زیرا هر داده ای که از این طریق بازیابی می کنید باید به عنوان یک شانس خوب در نظر گرفته شود، نه برنامه ریزی خوب.
اگر کلاهبرداران همتای کلید خصوصی را به کلید عمومی در خود نگه دارند PEMFILE
راز، احتمال کمی وجود دارد که بتوانید رمزگشایی کنید RNDKEY
، یعنی شما نمی توانید قسمت های درهم شده فایل را خودتان بازیابی کنید.
بنابراین تقاضای باج افزار.
چه کاری انجام دهید؟
خیلی ساده:
- بررسی کنید که پچ های مورد نیاز را دارید. حتی اگر «میدانید» که آنها را دقیقاً در اولین بیرون آمدن به کار بردهاید، دوباره بررسی کنید تا مطمئن شوید. شما اغلب تنها نیاز به ترک یک سوراخ دارید تا به مهاجمان اجازه دهید تا وارد شوند.
- فرآیندهای پشتیبان گیری خود را مجدداً بررسی کنید. مطمئن شوید که در صورت بروز فاجعه، چه از طریق باج افزار یا نه، روش قابل اعتماد و مؤثری برای بازیابی اطلاعات از دست رفته در یک زمان معقول دارید. منتظر نمانید تا پس از حمله باج افزار متوجه شوید که به هر حال در دوراهی پرداخت هزینه گیر کرده اید زیرا بازیابی را تمرین نکرده اید و نمی توانید آن را به اندازه کافی کارآمد انجام دهید.
- اگر مطمئن نیستید یا وقت ندارید، کمک بخواهید. شرکت هایی مانند Sophos هر دو را ارائه می دهند XDR (تشخیص و پاسخ گسترده) و MDR (تشخیص و پاسخ مدیریت شده) که می تواند به شما کمک کند فراتر از انتظار برای ظاهر شدن علائم مشکل در داشبورد خود بروید. کمک خواستن از شخص دیگری یک اختلاس نیست، به خصوص اگر گزینه جایگزین این باشد که هرگز زمانی را برای رسیدن به خود نداشته باشید.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/02/07/using-vmware-worried-about-esxi-ransomware-check-your-patches-now/
- 000
- 1
- 2021
- a
- قادر
- درباره ما
- مطلق
- کاملا
- دسترسی
- واقعا
- نصیحت
- پس از
- در برابر
- قرون
- پیش
- الگوریتم
- معرفی
- تنها
- قبلا
- جایگزین
- هر چند
- مقدار
- و
- اعمال می شود
- دور و بر
- مقاله
- حمله
- هجوم بردن
- حمله
- نویسنده
- خودکار
- به عقب
- زمینه
- تصویر پس زمینه
- پشتیبان گیری
- بد
- زیرا
- شروع
- بودن
- در زیر
- خارج از
- بیت کوین
- تهدید
- مرز
- پایین
- مرورگر
- BTC
- اشکالات
- پژوهشنامه
- صدا
- نام
- حمل
- مورد
- موارد
- کشتی
- ایجاد می شود
- مرکز
- قطعا
- شانس
- تبادل
- بررسی
- برگزیده
- رمز
- رمز
- رنگ
- شرکت
- بغرنج
- سازش
- کامپیوتر
- تضاد
- در نظر گرفته
- شامل
- نسخه
- فساد
- میتوانست
- دوره
- پوشش
- سقوط
- ایجاد
- بحرانی
- Crooks
- خام
- رمزنگاری
- CryptoMining
- جاری
- در حال حاضر
- مجرمان سایبری
- خطر
- داشبورد
- داده ها
- پایگاه داده
- روز
- رمزگشایی کنید
- قطعا
- درجه
- تقاضا
- خواستار
- شرح
- کشف
- مستقیما
- فاجعه
- كشف كردن
- نمایش دادن
- توزیع شده
- عمل
- آیا
- هر
- در اوایل
- اکوسیستم
- موثر
- به طور موثر
- موثر
- هر دو
- اورژانس
- رمزگذاری
- رمزگذاری
- انگلیسی
- کافی
- حصول اطمینان از
- به خصوص
- املاک
- اروپا
- حتی
- تا کنون
- هر
- اعدام
- انتظار
- ضمیمهها
- عصاره
- کمی از
- پرونده
- فایل ها
- نام خانوادگی
- تمرکز
- یافت
- فرانسوی
- از جانب
- تابع
- گروه
- همه منظوره
- دریافت کنید
- گرفتن
- دادن
- داده
- می دهد
- دادن
- Go
- می رود
- خوب
- رخ دادن
- داشتن
- عنوان
- شنیده
- ارتفاع
- برگزار شد
- کمک
- در سطح بالا
- نگه داشتن
- برگزاری
- سوراخ
- صفحه اصلی
- در تردید بودن
- چگونه
- اما
- HTML
- HTTPS
- بزرگ
- تصویر
- تصاویر
- بلافاصله
- پیاده سازی
- مهم
- in
- شامل
- از جمله
- شاخص
- به طور جداگانه
- در عوض
- موضوع
- IT
- نگاه داشتن
- کلید
- دانستن
- شناخته شده
- بزرگتر
- نام
- آخرین
- ترک کردن
- ترک
- احتمالا
- لاین
- لینوکس
- فهرست
- کوچک
- محل
- قفل شده
- قفل
- طولانی
- طولانی مدت
- نگاه کنيد
- نگاه
- شانس
- دستگاه
- ماشین آلات
- ساخت
- باعث می شود
- نرم افزارهای مخرب
- اداره می شود
- مدیریت
- بسیاری
- حاشیه
- حداکثر عرض
- به معنی
- متوسط
- قدرت
- ذهن
- حالت
- مدرن
- بیش
- اکثر
- نام
- از جمله
- نیاز
- ضروری
- نیازمند
- شبکه
- اخبار
- بعد
- طبیعی
- یادداشت
- تعداد
- واضح
- شغلی
- ارائه
- رسمی
- قدیمی
- ONE
- openssl
- اصلی
- دیگر
- خود
- پرداخت
- موازی
- پارامترهای
- بخش
- وصله
- پچ های
- پچ کردن
- مسیر
- الگوهای
- پل
- پرداخت
- پرداخت
- شاید
- برگزیده
- برنامه ریزی
- افلاطون
- هوش داده افلاطون
- PlatoData
- پاپ
- موقعیت
- ممکن
- پست ها
- حضور
- زندان
- شاید
- روند
- فرآیندهای
- در حال پردازش
- برنامه
- ارائه
- عمومی
- کلید عمومی
- هدف
- قرار دادن
- به سرعت
- تصادفی
- فدیه
- باجافزار
- حمله باج افزار
- مطالعه
- معقول
- بهبود یافتن
- اشاره
- قابل اعتماد
- دور
- گزارش
- نشان دهنده
- پاسخ
- REST
- بازگرداندن
- نتیجه
- برگشت
- خطر
- دور
- rsa
- ویرانه
- در حال اجرا
- همان
- ذخیره
- راز
- امن
- تیم امنیت لاتاری
- به نظر می رسد
- بخش
- در حال ارسال
- حس
- جداگانه
- دنباله
- سرویس
- تنظیم
- مستقر
- صدف
- کوتاه
- باید
- نشانه ها
- ساده
- به سادگی
- پس از
- وضعیت
- اندازه
- PFS
- So
- جامد
- برخی از
- کسی
- چیزی
- بزودی
- صحبت کردن
- خاص
- به طور خاص
- مشخص شده
- بهار
- مستقل
- ساقه
- ذخیره سازی
- داستان
- جریان
- ضربه
- چنین
- SVG
- سیستم
- سیستم های
- وظایف
- تیم
- قوانین و مقررات
- La
- شان
- از این رو
- سراسر
- زمان
- به
- ابزار
- بالا
- انتقال
- شفاف
- ماشه
- زحمت
- دور زدن
- تبدیل
- عطف
- به طور معمول
- زیر
- آپلود شده
- URL
- استفاده کنید
- پس از استفاده رایگان
- کاربر
- ارزشها
- نسخه
- از طريق
- مجازی
- ماشین مجازی
- آموزش VMware
- حجم
- جلد
- آسیب پذیری ها
- آسیب پذیری
- صبر کنيد
- منتظر
- کیف پول
- جنگ
- وب
- هفته
- چی
- چه
- که
- در حین
- WHO
- در داخل
- کلمه
- کلمات
- مهاجرت کاری
- کارگر
- با این نسخهها کار
- نگران
- خواهد بود
- سال
- شما
- خودت
- زفیرنت