VMWaren käyttäjä? Oletko huolissasi "ESXi ransomwaresta"? Tarkista laastarit nyt!

VMWaren käyttäjä? Oletko huolissasi "ESXi ransomwaresta"? Tarkista laastarit nyt!

Aikaleima: 7. helmikuuta 2023 2
Lähdesolmu: 1945764
by Paul Ducklin

Kyberturvallisuusuutisia, ainakin Euroopassa, hallitsevat tällä hetkellä tarinat "VMWare ESXi ransomwaresta", joka tekee kierroksia, kirjaimellisesti ja (ainakin kryptografisessa mielessä) kuvaannollisesti.

Ranskan hallituksen tietokonehätäryhmä CERT-FR aloitti viime viikon lopulla nopeasti minipaniikiksi muuttuneen tiedotteen, jonka otsikko oli yksinkertaisesti: Campagne d'exploitation d'une vulnérabilité vaikuttaja VMware ESXi (VMWare ESXi -haavoittuvuutta hyödyntävä kyberhyökkäys).

Vaikka otsikko keskittyy suoraan korkean tason vaaraan, nimittäin siihen, että mikä tahansa etäkäyttöinen haavoittuvuus antaa hyökkääjille tyypillisesti polun verkkoosi tehdäkseen jotain, tai ehkä jopa mitä tahansa, mistä he pitävät…

…raportin ensimmäinen rivi antaa synkän uutisen, että jotain roistot tekevät tässä tapauksessa on se, mitä ranskalaiset kutsuvat ransomware.

Sinun ei välttämättä tarvitse tietää sitä ohjelmistot on ranskankielinen sana "ohjelmistolle" arvaamaan, että sanan kanta ranço- tuli sekä moderniin ranskaan (lunnaat) ja englanti (lunnaat) vanhasta ranskan sanasta lunastettu, ja siten sana käännetään suoraan englanniksi nimellä ransomware.

Keskiajalla yksi monarkkien työvaara sodan aikana oli vihollisen vangitseminen ja vangitseminen. lunastettu, tyypillisesti rankaisevin ehdoin, jotka ratkaisivat konfliktin tehokkaasti vankien hyväksi.

Nykyään tietysti tietosi "vangitaan" – tosin, päinvastoin, roistojen ei itse asiassa tarvitse vaivautua kantamaan niitä pois ja pitämään niitä turvallisessa vankilassa heidän puolellaan rajaa. kiristää sinua.

He voivat yksinkertaisesti salata sen "levossa" ja tarjota sinulle salausavaimen vastineeksi rangaistuksestaan. lunastettu.

Ironista kyllä, toimit omana vanginvartijana, ja roistot joutuvat pitämään kiinni vain muutamasta salaisesta tavusta (tässä tapauksessa 32 tavua) pitääkseen tietosi lukittuna omassa IT-tilassasi niin kauan kuin haluavat.

Hyviä ja huonoja uutisia

Tässä on hyviä uutisia: Nykyinen hyökkäyspurske näyttää olevan nettirikollisten putiikkiporukan työtä, joka luottaa kahteen erityiseen VMWare ESXi -haavoittuvuuteen, jotka VMware dokumentoi ja korjattiin noin kaksi vuotta sitten.

Toisin sanoen useimmat järjestelmänvalvojat odottavat olleensa edellä näitä hyökkääjiä viimeistään vuoden 2021 alusta lähtien, joten tämä ei todellakaan ole nollapäivän tilanne.

Tässä huonoja uutisia: jos et ole asentanut tarvittavia korjaustiedostoja pitkiin aikoihin niiden ilmestymisen jälkeen, et ole vain tämän tietyn kiristysohjelmahyökkäyksen vaarassa, vaan myös lähes kaikenlaisten tietoverkkorikosten – tietojen varastamisen, kryptominoinnin, näppäinlokituksen, tietokannan – vaarassa. myrkytys, myyntipisteen haittaohjelmat ja roskapostin lähettäminen tulevat heti mieleen.

Tässä vielä huonoja uutisia: tässä hyökkäyksessä käytetty kiristysohjelma, jota kutsutaan eri nimillä ESXi lunnasohjelma ja ESXiArgs lunnasohjelma, näyttää olevan yleiskäyttöinen haittaohjelmatiedostopari, joista toinen on komentosarja ja toinen Linux-ohjelma (tunnetaan myös nimellä binaarinen or suoritettavan tiedosto).

Toisin sanoen, vaikka sinun on ehdottomasti korjattava näitä vanhan koulukunnan VMWare-virheitä, jos et ole jo tehnyt, tässä haittaohjelmassa ei ole mitään, joka lukitsee sen hyökkäämään vain VMWaren haavoittuvuuksien kautta tai hyökkäämään vain VMWareen liittyviin tietotiedostoihin.

Itse asiassa viittaamme vain kiristysohjelmiin nimellä Args Tässä artikkelissa, jotta vältytään antamasta vaikutelmaa, että se on joko erityisesti VMWare ESXi -järjestelmien ja -tiedostojen aiheuttama tai sitä voidaan käyttää vain niitä vastaan.

Kuinka se toimii

CERT-FR:n mukaan. kaksi haavoittuvuutta, jotka sinun on otettava huomioon heti, ovat:

  • CVE-2021-21974 VMSA-2021-0002:sta. ESXi OpenSLP -keon ylivuotohaavoittuvuus. Haitallinen toimija, joka asuu samassa verkkosegmentissä ESXin kanssa ja jolla on pääsy porttiin 427, saattaa kyetä laukaisemaan [keon ylivuoto] OpenSLP-palvelussa, mikä johtaa koodin etäsuorittamiseen.
  • CVE-2020-3992 VMSA-2020-0023:sta. ESXi OpenSLP:n koodin etäsuorittamisen haavoittuvuus. Hallintaverkossa oleva haitallinen toimija, jolla on pääsy ESXi-koneen porttiin 427, saattaa kyetä käynnistämään OpenSLP-palvelun käytön jälkeisen käytön, mikä johtaa koodin etäsuorittamiseen.

Molemmissa tapauksissa VMWaren virallinen neuvo oli korjata, jos mahdollista, tai, jos sinun piti lykätä korjausta hetkeksi, poistaa ongelmallinen SLP (palvelun sijaintiprotokolla) palvelu.

VMWaressa on sivu, jossa on pitkäaikaisia ​​ohjeita työskentelyyn SLP-suojausongelmia, mukaan lukien komentosarjakoodi, jolla SLP voidaan sammuttaa väliaikaisesti ja ottaa uudelleen käyttöön, kun olet korjannut.

Tämän hyökkäyksen vahinko

Tässä Args hyökkäys, taistelukärki, jonka huijarit ilmeisesti päästävät valloilleen saatuaan pääsyn ESXi-ekosysteemiisi, sisältää alla olevan komentosarjan.

Olemme valinneet kriittiset, jotta tämä kuvaus olisi lyhyt:

  • Lopeta käynnissä olevat virtuaalikoneet. Riistot eivät tee tätä kauniisti, vaan lähettämällä jokaisen vmx prosessi a SIGKILL (kill -9) kaataaksesi ohjelman mahdollisimman pian. Oletamme, että tämä on nopea ja likainen tapa varmistaa, että kaikki VMWare-tiedostot, joita he haluavat sekoittaa, avataan ja voidaan siksi avata uudelleen luku-/kirjoitustilassa.
  • Vie ESXi-tiedostojärjestelmän taltioluettelo. Riistot käyttävät esxcli storage filesystem list -komento saadaksesi luettelon ESXi-taltioista.
  • Etsi tärkeitä VMWare-tiedostoja jokaiselle taltiolle. Riistot käyttävät find -komento jokaisessa asemassasi /vmfs/volumes/ hakemisto, josta löydät tiedostot tästä laajennusluettelosta: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram ja .vmem.
  • Kutsu yleiskäyttöinen tiedostojen salaustyökalu jokaiselle löydetylle tiedostolle. Ohjelma nimeltään encrypt, jonka roistot lataavat, käytetään sekoittamaan jokainen tiedosto erikseen erillisessä prosessissa. Salaukset tapahtuvat siis rinnakkain, taustalla, sen sijaan, että komentosarja odottaisi jokaisen tiedoston salaamista vuorotellen.

Kun taustasalaustehtävät ovat alkaneet, haittaohjelmaskripti muuttaa joitakin järjestelmätiedostoja varmistaakseen, että tiedät mitä tehdä seuraavaksi.

Meillä ei ole omia kopioita mistään todellisista lunnaita koskevista seteleistä Args roistot ovat käyttäneet, mutta voimme kertoa sinulle, mistä etsiä niitä, jos et ole itse nähnyt niitä, koska käsikirjoitus:

  • Korvaa sinun /etc/motd tiedosto lunnaita koskevalla kirjeellä. Nimi motd on lyhyt päivän viesti, ja alkuperäinen versiosi on siirretty /etc/motd1, joten voit käyttää samannimisen tiedoston olemassaoloa kompromissin karkeana ilmaisuna (IoC).
  • Korvaa minkä tahansa index.html tiedostot /usr/lib/vmware puu lunastuslapulla. Jälleen alkuperäiset tiedostot nimetään uudelleen, tällä kertaa index1.html. Tiedostot kutsutaan index.html ovat kaikkien VMWare-verkkoportaalien kotisivuja, jotka saatat avata selaimessasi.

Olemme kuulleet, että vaaditut lunnaat ovat Bitcoinissa, mutta ne vaihtelevat sekä tarkan summan että lompakkotunnuksen osalta, jolle ne maksetaan, ehkä jotta vältytään ilmeisiltä maksutavat BTC-lohkoketjussa.

Näyttää kuitenkin siltä, ​​että kiristysmaksu on yleensä asetettu noin BTC 2:een, tällä hetkellä hieman alle 50,000 XNUMX dollariin.

LISÄTIETOJA: MAKSUKUVIOT LOKKOKETJUSSA

Salaaja lyhyesti

- encrypt ohjelma on käytännössä itsenäinen, yksi tiedosto kerrallaan sekoitustyökalu.

Kun otetaan huomioon, miten se toimii, tälle tiedostolle ei kuitenkaan ole ajateltavissa olevaa laillista tarkoitusta.

Oletettavasti ajan säästämiseksi salauksen aikana, koska virtuaalikoneen kuvat ovat tyypillisesti kooltaan useita gigatavuja tai jopa teratavuja, ohjelmalle voidaan antaa parametreja, jotka käskevät sen sekoittamaan osan tiedostosta jättäen loput rauhaan.

Löyhästi sanottuna Args haittaohjelma tekee likaisen työnsä toiminnolla nimeltä encrypt_simple() (itse asiassa se ei ole ollenkaan yksinkertaista, koska se salaa monimutkaisella tavalla, jota mikään aito tietoturvaohjelma ei koskaan käyttäisi), mikä menee suunnilleen näin.

Arvot FILENAME, PEMFILE, M ja N alla voidaan määrittää suorituksen aikana komentorivillä.

Huomaa, että haittaohjelma sisältää oman toteutuksensa Sosemanukin salausalgoritmista, vaikka se luottaa käyttämiensä satunnaislukujen osalta OpenSSL:ään ja RSA:n julkisen avaimen käsittelyyn:

  1. Tuottaa PUBKEY, julkinen RSA-avain, lukemalla sisään PEMFILE.
  2. Tuottaa RNDKEY, satunnainen, 32-tavuinen symmetrinen salausavain.
  3. Siirry alkuun FILENAME
  4. Lue sisään M megatavua alkaen FILENAME.
  5. Sekoita tiedot käyttämällä Sosemanuk-virtasalausta RNDKEY.
  6. Korvaa ne samat M megatavua tiedostossa, jossa on salatut tiedot.
  7. Hyppää eteenpäin N megatavua tiedostossa.
  8. GOTO 4 jos tietoja on jäljellä.
  9. Hyppää loppuun FILENAME.
  10. Käytä RSA:n julkisen avaimen salausta RNDKEY, Käyttäen PUBKEY.
  11. Liitä salattu salauksenpurkuavain kohtaan FILENAME.

Tarkastelimme käsikirjoitustiedostossa, missä hyökkääjät vetoavat encrypt ohjelman, he näyttävät valinneen M olla 1 megatavu ja N olla 99 megatavua, jotta ne itse asiassa salaavat vain 1 % kaikista yli 100 megatavua suuremmista tiedostoista.

Tämä tarkoittaa, että he voivat aiheuttaa vahinkonsa nopeasti, mutta lähes varmasti jättävät virtuaalikoneesi käyttökelvottomiksi ja todennäköisesti korjaamattomiksi.

Ensimmäisen 1 megatavun päällekirjoittaminen tekee kuvasta tyypillisesti käynnistymättömän, mikä on tarpeeksi huonoa, ja 1 %:n sekoitus muusta kuvasta, ja vauriot jakautuvat koko tiedostoon, edustaa valtavaa korruptiota.

Tämä vioittumisaste saattaa jättää alkuperäisiä tietoja, joita voit poimia tiedoston raunioista, mutta luultavasti ei paljon, joten emme suosittele luottamaan siihen tosiasiaan, että 99 % tiedostosta on edelleen kunnossa. varotoimia, sillä kaikkia tällä tavalla palauttamiasi tietoja pitäisi pitää onnea, ei hyvää suunnittelua.

Jos huijarit pitävät yksityisen avaimen vastineen julkiselle avaimelle PEMFILE salaisuus, on vähän mahdollisuuksia, että voisit koskaan purkaa salauksen RNDKEY, mikä tarkoittaa, että et voi palauttaa tiedoston salattuja osia itse.

Näin ollen ransomware kysyntä.

Mitä tehdä?

Hyvin yksinkertaisesti:

  • Tarkista, että sinulla on tarvittavat paikat. Vaikka "tiedät" käyttäväsi niitä heti, kun ne ensimmäisen kerran ilmestyivät, tarkista uudelleen varmistaaksesi. Sinun tarvitsee usein jättää vain yksi reikä antaaksesi hyökkääjille rantapään päästäkseen sisään.
  • Tarkista varmuuskopiointiprosessit uudelleen. Varmista, että sinulla on luotettava ja tehokas tapa palauttaa kadonneet tiedot kohtuullisessa ajassa, jos katastrofi iskee, olipa kyseessä kiristysohjelma tai ei. Älä odota ransomware-hyökkäyksen jälkeen, kun huomaat, että olet joka tapauksessa jumissa maksamisen ongelman kanssa, koska et ole harjoitellut palauttamista etkä pysty tekemään sitä tarpeeksi tehokkaasti.
  • Jos et ole varma tai sinulla ei ole aikaa, pyydä apua. Yritykset, kuten Sophos, tarjoavat molemmat XDR (laajennettu havaitseminen ja vaste) ja MDR (hallittu havaitseminen ja reagointi), joiden avulla voit mennä pidemmälle kuin vain odottamalla, että kojelautaan ilmestyvät häiriömerkit. Avun pyytäminen joltakin toiselta ei ole katkonaista, varsinkin jos vaihtoehtona on se, että ei yksinkertaisesti ole koskaan aikaa saada itse kiinni.

Aikaleima:

Lisää aiheesta Naked Security