کاربر VMWare؟ نگران "باج افزار ESXi" هستید؟ هم اکنون وصله های خود را بررسی کنید!

اخبار امنیت سایبری، حداقل در اروپا، در حال حاضر تحت تسلط داستان‌هایی درباره «باج‌افزار VMWare ESXi» است که به معنای واقعی کلمه و (حداقل در یک مفهوم رمزنگاری) به صورت مجازی در حال انجام است.

CERT-FR، تیم واکنش اضطراری کامپیوتری دولت فرانسه، چیزی را آغاز کرد که به سرعت در انتهای هفته گذشته به یک وحشت کوچک تبدیل شد، با بولتنی با عنوان ساده: Campagne d'Exploitation d'une An vulnérabilité vmware ESXi (حمله سایبری با سوء استفاده از آسیب پذیری VMWare ESXi).

اگرچه تیتر به طور مستقیم بر روی خطر سطح بالا متمرکز است، یعنی هر آسیب‌پذیری قابل بهره‌برداری از راه دور معمولاً به مهاجمان مسیری را به شبکه شما می‌دهد تا کاری یا شاید حتی هر کاری را که دوست دارند انجام دهند…

...خط اول گزارش این خبر غم انگیز را می دهد که چیزی کلاهبرداران در این مورد همان چیزی است که فرانسوی ها می گویند باج افزار.

احتمالاً نیازی به دانستن آن ندارید نرمافزار کلمه فرانسوی "نرم افزار" برای حدس زدن است که کلمه ساقه است رانچو- به دو زبان فرانسوی مدرن (فدیه) و انگلیسی (خون بها) از کلمه فرانسوی قدیم باج گیری، و بنابراین این کلمه مستقیماً به انگلیسی ترجمه می شود باجافزار.

در قرون وسطی، یکی از خطرات شغلی پادشاهان در زمان جنگ، اسیر شدن توسط دشمن و نگهداری آن برای مدتی طولانی بود. باج گیری، معمولاً تحت شرایط تنبیهی که عملاً درگیری را به نفع اسیرکنندگان حل می کرد.

این روزها، البته، این داده های شما هستند که "تسخیر" می شوند - اگرچه، به طرز انحرافی، کلاهبرداران در واقع نیازی به زحمت کشیدن آن ندارند و در زندانی امن در کنار مرز خود نگه می دارند. باج گیری از شما

آنها به سادگی می توانند آن را در حالت استراحت رمزگذاری کنند و در ازای مجازات خود، به شما پیشنهاد دهند که کلید رمزگشایی را به شما بدهند. باج گیری.

از قضا، شما در نهایت به عنوان زندانبان خود عمل می کنید، در حالی که کلاهبرداران باید فقط چند بایت مخفی (در این مورد 32 بایت) نگه دارند تا داده های شما را تا زمانی که دوست دارند در دارایی IT خود شما قفل کنند.

خبرهای خوب و خبرهای بد

این خبر خوب است: به نظر می‌رسد که حملات کنونی کار یک باند بوتیک از مجرمان سایبری است که بر دو آسیب‌پذیری خاص VMWare ESXi تکیه می‌کنند که توسط VMware مستند شده و حدود دو سال پیش وصله شده‌اند.

به عبارت دیگر، اکثر sysadmin ها انتظار دارند حداکثر از اوایل سال 2021 از این مهاجمان جلوتر باشند، بنابراین قطعاً این یک وضعیت روز صفر نیست.

خبر بد اینجاست: اگر وصله‌های مورد نیاز را در مدت زمان طولانی از زمان انتشار آن‌ها اعمال نکرده‌اید، نه تنها در معرض خطر این حمله باج‌افزار خاص قرار دارید، بلکه در معرض خطر جرایم سایبری تقریباً از هر نوع مانند سرقت داده‌ها، استخراج رمزنگاری، keylogging، پایگاه داده قرار دارید. مسمومیت، بدافزار نقطه فروش و ارسال هرزنامه بلافاصله به ذهنتان می رسد.

در اینجا چند خبر بد دیگر وجود دارد: باج افزار مورد استفاده در این حمله که مشاهده خواهید کرد با نام های مختلفی از آن یاد می شود باج افزار ESXi و باج افزار ESXiArgs، به نظر می رسد یک جفت فایل بدافزار همه منظوره باشد، یکی یک اسکریپت پوسته و دیگری یک برنامه لینوکس (همچنین به نام دوتایی or قابل اجرا فایل).

به عبارت دیگر، اگرچه اگر قبلاً این کار را نکرده‌اید، کاملاً نیاز دارید که باگ‌های قدیمی VMWare را اصلاح کنید، اما چیزی در مورد این بدافزار وجود ندارد که آن را به طور جدایی‌ناپذیری قفل کند تا فقط از طریق آسیب‌پذیری‌های VMWare حمله کند یا فقط به فایل‌های داده مربوط به VMWare حمله کند.

در واقع، ما فقط به باج افزار با نام اشاره می کنیم ارگ در این مقاله، برای جلوگیری از ایجاد این تصور که یا به طور خاص توسط سیستم‌ها و فایل‌های VMWare ESXi ایجاد شده یا فقط می‌تواند علیه آن‌ها استفاده شود.

چگونه کار می کند

طبق CERT-FR. دو آسیب پذیری که باید فوراً به آنها توجه کنید عبارتند از:

• CVE-2021-21974 از VMSA-2021-0002. آسیب پذیری ESXi OpenSLP heap-overflow. یک عامل مخرب ساکن در همان بخش شبکه ESXi که به پورت 427 دسترسی دارد، ممکن است بتواند [یک] مشکل سرریز پشته را در [] سرویس OpenSLP ایجاد کند که منجر به اجرای کد از راه دور می شود.
• CVE-2020-3992 از VMSA-2020-0023. آسیب پذیری اجرای کد از راه دور ESXi OpenSLP. یک عامل مخرب ساکن در شبکه مدیریت که به پورت 427 در یک دستگاه ESXi دسترسی دارد، ممکن است بتواند یک استفاده پس از رایگان را در سرویس OpenSLP راه‌اندازی کند که منجر به اجرای کد از راه دور می‌شود.

در هر دو مورد، توصیه رسمی VMWare این بود که در صورت امکان وصله کنید، یا اگر نیاز داشتید وصله را برای مدتی به تعویق بیندازید، SLP آسیب دیده را غیرفعال کنید (پروتکل مکان خدمات) سرویس.

VMWare صفحه ای با راهنمای طولانی مدت برای کار دارد مشکلات امنیتی SLP، از جمله کد اسکریپت برای خاموش کردن موقت SLP و پس از وصله مجدد دوباره فعال شود.

آسیب در این حمله

در این ارگ حمله، کلاهک جنگی که ظاهراً کلاهبرداران به محض اینکه به اکوسیستم ESXi شما دسترسی پیدا کردند، آزاد می‌کنند، شامل دستورات زیر می‌شود.

ما موارد مهم را برای کوتاه نگه داشتن این توضیحات انتخاب کرده ایم:

• ماشین های مجازی در حال اجرا را از بین ببرید. کلاهبرداران این کار را با ظرافت انجام نمی دهند، بلکه به سادگی هر کدام را ارسال می کنند vmx فرآیند الف SIGKILL (kill -9) برنامه را در اسرع وقت خراب کنید. ما فرض می‌کنیم که این یک راه سریع و کثیف برای اطمینان از باز شدن تمام فایل‌های VMWare است که می‌خواهند درهم بزنند و بنابراین می‌توانند در حالت خواندن/نوشتن دوباره باز شوند.
• یک لیست حجم فایل سیستم ESXi را صادر کنید. کلاهبرداران از esxcli storage filesystem list دستور برای دریافت لیستی از حجم های ESXi که باید دنبال کنید.
• فایل های مهم VMWare را برای هر جلد پیدا کنید. کلاهبرداران از find دستور بر روی هر جلد در شما /vmfs/volumes/ دایرکتوری برای یافتن فایل ها از این لیست پسوندها: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram و .vmem.
• برای هر فایل یافت شده، یک ابزار درهم‌سازی فایل همه منظوره فراخوانی کنید. برنامه ای به نام encrypt، که توسط کلاهبرداران آپلود شده است، برای به هم زدن هر فایل به صورت جداگانه در یک فرآیند جداگانه استفاده می شود. بنابراین، رمزگذاری ها به صورت موازی، در پس زمینه، به جای اینکه اسکریپت منتظر باشد تا هر فایل به نوبه خود درهم شود، اتفاق می افتد.

هنگامی که وظایف رمزگذاری پس‌زمینه شروع شد، اسکریپت بدافزار برخی از فایل‌های سیستم را تغییر می‌دهد تا مطمئن شود که می‌دانید چه کاری باید انجام دهید.

ما کپی خودمان از هیچ یادداشت باج واقعی نداریم ارگ کلاهبرداران استفاده کرده‌اند، اما می‌توانیم به شما بگوییم اگر خودتان آنها را ندیده‌اید، کجا به دنبال آنها بگردید، زیرا اسکریپت:

• شما را جایگزین می کند /etc/motd فایل با یادداشت باج نام motd کوتاه است پیام روز، و نسخه اصلی شما به آن منتقل می شود /etc/motd1، بنابراین می توانید از وجود فایلی با آن نام به عنوان یک نشانگر خام مصالحه (IoC) استفاده کنید.
• جایگزین هر index.html پرونده ها در /usr/lib/vmware درخت با یادداشت باج دوباره، فایل های اصلی تغییر نام داده می شوند، این بار به index1.html. فایل های فراخوانی شده index.html صفحات اصلی برای هر پورتال وب VMWare است که ممکن است در مرورگر خود باز کنید.

با توجه به آنچه ما شنیده ایم، باج های درخواست شده به بیت کوین است، اما هم در مقدار دقیق و هم در شناسه کیف پولی که باید به آن پرداخت شود، متفاوت است، شاید برای جلوگیری از ایجاد آشکار الگوهای پرداخت در بلاک چین BTC.

با این حال، به نظر می رسد که پرداخت باج خواهی معمولاً در حدود BTC 2 تعیین می شود که در حال حاضر کمتر از 50,000 دلار آمریکا است.

---

بیشتر بیاموزید: الگوهای پرداخت در بلاک چین

---

رمزگذار به طور خلاصه

La encrypt برنامه، به طور موثر، یک ابزار مستقل، یک فایل در یک زمان است.

با توجه به نحوه کارکرد آن، هیچ هدف قانونی قابل تصوری برای این فایل وجود ندارد.

احتمالاً برای صرفه جویی در زمان در هنگام رمزگذاری، با توجه به اینکه حجم تصاویر ماشین مجازی معمولاً چندین گیگابایت یا حتی ترابایت است، می‌توان پارامترهایی را به برنامه داد که به آن دستور می‌دهد تا برخی از تکه‌های فایل را درهم کند و بقیه را به حال خود رها کند.

به زبان ساده، ارگ بدافزار کار کثیف خود را با تابعی به نام انجام می دهد encrypt_simple() (در واقع، به هیچ وجه ساده نیست، زیرا به روشی پیچیده رمزگذاری می کند که هیچ برنامه امنیتی واقعی هرگز از آن استفاده نمی کند)، که چیزی شبیه به این است.

ارزش های FILENAME, PEMFILE, M و N زیر را می توان در زمان اجرا در خط فرمان مشخص کرد.

توجه داشته باشید که بدافزار حاوی پیاده‌سازی خودش از الگوریتم رمز Sosemanuk است، اگرچه برای اعداد تصادفی که استفاده می‌کند به OpenSSL و برای پردازش کلید عمومی RSA که انجام می‌دهد متکی است:

1. تولید PUBKEY، یک کلید عمومی RSA، با خواندن در PEMFILE.
2. تولید RNDKEY، یک کلید رمزگذاری متقارن تصادفی 32 بایتی.
3. برو به ابتدای FILENAME
4. را بخوانید M مگابایت از FILENAME.
5. با استفاده از رمزگذاری جریان Sosemanuk، آن داده‌ها را به هم بزنید RNDKEY.
6. همان ها را بازنویسی کنید M مگابایت در فایل با داده های رمزگذاری شده.
7. به جلو بپرید N مگابایت در فایل
8. GOTO 4 اگر داده ای برای به هم زدن باقی مانده باشد.
9. پرش به انتهای FILENAME.
10. از رمزگذاری کلید عمومی RSA برای تقلب استفاده کنید RNDKEYبا استفاده از PUBKEY.
11. کلید رمزگشایی درهم را به آن اضافه کنید FILENAME.

در فایل اسکریپتی که ما به آن نگاه کردیم، جایی که مهاجمان از آن فراخوانی می کنند encrypt به نظر می رسد آنها برنامه را انتخاب کرده اند M 1 مگابایت باشد و N 99 مگابایت باشد، به طوری که آنها در واقع فقط 1٪ از فایل های بزرگتر از 100 مگابایت را درهم می کشند.

این بدان معنی است که آنها به سرعت آسیب خود را وارد می کنند، اما تقریباً مطمئناً ماشین های مجازی شما را غیرقابل استفاده و به احتمال زیاد غیرقابل جبران می گذارند.

رونویسی 1 مگابایت اول معمولاً یک تصویر را غیر قابل بوت می کند، که به اندازه کافی بد است، و درهم زدن 1٪ از بقیه تصویر، با آسیب توزیع شده در سراسر فایل، نشان دهنده میزان زیادی از فساد است.

این درجه از فساد ممکن است برخی از داده‌های اصلی را به جا بگذارد که می‌توانید از خرابه‌های فایل استخراج کنید، اما احتمالاً زیاد نیست، بنابراین توصیه نمی‌کنیم به این واقعیت اعتماد کنید که 99٪ از فایل "هنوز خوب است" به عنوان هر نوع دیگری. احتیاط، زیرا هر داده ای که از این طریق بازیابی می کنید باید به عنوان یک شانس خوب در نظر گرفته شود، نه برنامه ریزی خوب.

اگر کلاهبرداران همتای کلید خصوصی را به کلید عمومی در خود نگه دارند PEMFILE راز، احتمال کمی وجود دارد که بتوانید رمزگشایی کنید RNDKEY، یعنی شما نمی توانید قسمت های درهم شده فایل را خودتان بازیابی کنید.

بنابراین تقاضای باج افزار.

چه کاری انجام دهید؟

خیلی ساده:

• بررسی کنید که پچ های مورد نیاز را دارید. حتی اگر «می‌دانید» که آن‌ها را دقیقاً در اولین بیرون آمدن به کار برده‌اید، دوباره بررسی کنید تا مطمئن شوید. شما اغلب تنها نیاز به ترک یک سوراخ دارید تا به مهاجمان اجازه دهید تا وارد شوند.
• فرآیندهای پشتیبان گیری خود را مجدداً بررسی کنید. مطمئن شوید که در صورت بروز فاجعه، چه از طریق باج افزار یا نه، روش قابل اعتماد و مؤثری برای بازیابی اطلاعات از دست رفته در یک زمان معقول دارید. منتظر نمانید تا پس از حمله باج افزار متوجه شوید که به هر حال در دوراهی پرداخت هزینه گیر کرده اید زیرا بازیابی را تمرین نکرده اید و نمی توانید آن را به اندازه کافی کارآمد انجام دهید.
• اگر مطمئن نیستید یا وقت ندارید، کمک بخواهید. شرکت هایی مانند Sophos هر دو را ارائه می دهند XDR (تشخیص و پاسخ گسترده) و MDR (تشخیص و پاسخ مدیریت شده) که می تواند به شما کمک کند فراتر از انتظار برای ظاهر شدن علائم مشکل در داشبورد خود بروید. کمک خواستن از شخص دیگری یک اختلاس نیست، به خصوص اگر گزینه جایگزین این باشد که هرگز زمانی را برای رسیدن به خود نداشته باشید.

---

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://nakedsecurity.sophos.com/2023/02/07/using-vmware-worried-about-esxi-ransomware-check-your-patches-now/