pengguna VMWare? Khawatir tentang “ESXi ransomware”? Periksa tambalan Anda sekarang!

pengguna VMWare? Khawatir tentang “ESXi ransomware”? Periksa tambalan Anda sekarang!

Stempel Waktu: 7 Februari 2023 2
Node Sumber: 1945764
by Paul Bebek

Berita keamanan dunia maya, setidaknya di Eropa, saat ini didominasi oleh cerita tentang “VMWare ESXi ransomware” yang beredar, secara harfiah dan (setidaknya dalam arti kriptografi) secara kiasan.

CERT-FR, tim tanggap darurat komputer pemerintah Prancis, memulai apa yang dengan cepat berubah menjadi kepanikan kecil di akhir pekan lalu, dengan buletin berjudul: Campagne d'exploitation d'une vulnérabilité mempengaruhi VMware ESXi (Serangan siber mengeksploitasi kerentanan VMWare ESXi).

Meskipun tajuk utama berfokus langsung pada bahaya tingkat tinggi, yaitu bahwa setiap kerentanan yang dapat dieksploitasi dari jarak jauh biasanya memberi penyerang jalur ke jaringan Anda untuk melakukan sesuatu, atau bahkan apa pun, yang mereka sukai…

…baris pertama laporan memberikan berita suram bahwa sesuatu yang dilakukan para penjahat dalam hal ini adalah apa yang disebut orang Prancis Ransomware.

Anda mungkin tidak perlu tahu itu perangkat lunak adalah kata Prancis untuk "perangkat lunak" untuk menebak bahwa kata itu berasal ranço- datang ke kedua Perancis modern (tebusan) dan Inggris (tebusan) dari kata Prancis Kuno tebusan, dan dengan demikian kata tersebut diterjemahkan langsung ke dalam bahasa Inggris sebagai ransomware.

Kembali ke Abad Pertengahan, salah satu bahaya pekerjaan bagi para raja di masa perang adalah ditangkap oleh musuh dan ditahan selama beberapa waktu. tebusan, biasanya di bawah ketentuan hukuman yang secara efektif menyelesaikan konflik demi para penculiknya.

Hari-hari ini, tentu saja, data Anda yang "ditangkap" - meskipun, anehnya, para penjahat sebenarnya tidak perlu bersusah payah membawanya dan menahannya di penjara yang aman di sisi perbatasan mereka sementara mereka memeras Anda.

Mereka dapat dengan mudah mengenkripsinya "saat istirahat", dan menawarkan untuk memberi Anda kunci dekripsi sebagai imbalan atas hukuman mereka tebusan.

Ironisnya, Anda akhirnya bertindak sebagai sipir Anda sendiri, dengan penjahat hanya perlu menyimpan beberapa byte rahasia (32 byte, dalam hal ini) untuk menyimpan data Anda terkunci di real IT Anda sendiri selama yang mereka suka.

Berita baik dan berita buruk

Inilah kabar baiknya: ledakan serangan saat ini tampaknya merupakan pekerjaan geng butik penjahat dunia maya yang mengandalkan dua kerentanan VMWare ESXi spesifik yang didokumentasikan oleh VMware dan ditambal sekitar dua tahun lalu.

Dengan kata lain, sebagian besar sysadmin berharap berada di depan penyerang ini paling lambat sejak awal 2021, jadi ini jelas bukan situasi zero-day.

Inilah berita buruknya: jika Anda belum menerapkan tambalan yang diperlukan dalam waktu yang lama sejak dirilis, Anda tidak hanya berisiko terkena serangan ransomware khusus ini, tetapi juga berisiko terhadap kejahatan dunia maya dalam bentuk apa pun – pencurian data, penambangan kripto, keylogging, basis data keracunan, malware point-of-sale, dan pengirim spam langsung muncul di pikiran.

Berikut beberapa berita buruk lainnya: ransomware yang digunakan dalam serangan ini, yang akan Anda lihat disebut sebagai Ransomware ESXi dan Ransomware ESXiArgs, tampaknya merupakan sepasang file malware untuk keperluan umum, yang satu adalah skrip shell, dan yang lainnya adalah program Linux (juga dikenal sebagai a biner or executable file).

Dengan kata lain, meskipun Anda benar-benar perlu menambal bug VMWare jadul ini jika Anda belum melakukannya, malware ini tidak menguncinya untuk menyerang hanya melalui kerentanan VMWare, atau hanya menyerang file data terkait VMWare.

Faktanya, kami hanya akan merujuk pada ransomware dengan namanya Argumen dalam artikel ini, untuk menghindari kesan bahwa hal itu secara khusus disebabkan oleh, atau hanya dapat digunakan terhadap, sistem dan file VMWare ESXi.

Cara kerjanya

Menurut CERT-FR. dua kerentanan yang perlu Anda waspadai segera adalah:

  • CVE-2021-21974 dari VMSA-2021-0002. Kerentanan heap-overflow ESXi OpenSLP. Pelaku jahat yang berada dalam segmen jaringan yang sama dengan ESXi yang memiliki akses ke port 427 mungkin dapat memicu [a] masalah heap-overflow di layanan OpenSLP yang mengakibatkan eksekusi kode jarak jauh.
  • CVE-2020-3992 dari VMSA-2020-0023. Kerentanan eksekusi kode jarak jauh ESXi OpenSLP. Aktor jahat yang berada di jaringan manajemen yang memiliki akses ke port 427 pada mesin ESXi mungkin dapat memicu penggunaan setelah bebas dalam layanan OpenSLP yang mengakibatkan eksekusi kode jarak jauh.

Dalam kedua kasus tersebut, saran resmi VMWare adalah menambal jika memungkinkan, atau, jika Anda perlu menunda menambal untuk sementara waktu, untuk menonaktifkan SLP yang terpengaruh (protokol lokasi layanan) layanan.

VMWare memiliki halaman dengan panduan lama untuk bekerja Masalah keamanan SLP, termasuk kode skrip untuk menonaktifkan SLP sementara, dan mengaktifkan kembali setelah Anda ditambal.

Kerusakan dalam serangan ini

Dalam Argumen serangan, hulu ledak yang tampaknya dilepaskan oleh penjahat, begitu mereka mendapatkan akses ke ekosistem ESXi Anda, sertakan urutan perintah di bawah ini.

Kami telah memilih yang paling penting untuk mempersingkat deskripsi ini:

  • Matikan menjalankan mesin virtual. Penjahat tidak melakukan ini dengan anggun, tetapi hanya dengan mengirimkan setiap vmx proses a SIGKILL (kill -9) untuk menghentikan program sesegera mungkin. Kami menganggap ini adalah cara cepat dan kotor untuk memastikan semua file VMWare yang ingin diacak tidak terkunci dan karenanya dapat dibuka kembali dalam mode baca/tulis.
  • Ekspor daftar volume sistem file ESXi. Para penjahat menggunakan esxcli storage filesystem list perintah untuk mendapatkan daftar volume ESXi untuk diikuti.
  • Temukan file VMWare penting untuk setiap volume. Para penjahat menggunakan find perintah pada setiap volume di Anda /vmfs/volumes/ direktori untuk mencari file dari daftar ekstensi ini: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram dan .vmem.
  • Panggil alat pengacakan file tujuan umum untuk setiap file yang ditemukan. Sebuah program yang disebut encrypt, diunggah oleh penjahat, digunakan untuk mengacak setiap file satu per satu dalam proses terpisah. Oleh karena itu, enkripsi terjadi secara paralel, di latar belakang, alih-alih skrip menunggu setiap file diacak secara bergantian.

Setelah tugas enkripsi latar belakang dimulai, skrip malware mengubah beberapa file sistem untuk memastikan Anda tahu apa yang harus dilakukan selanjutnya.

Kami tidak memiliki salinan sendiri dari catatan tebusan yang sebenarnya Argumen penjahat telah digunakan, tetapi kami dapat memberi tahu Anda di mana mencarinya jika Anda belum melihatnya sendiri, karena skripnya:

  • Menggantikan Anda /etc/motd file dengan catatan tebusan. Nama motd adalah singkatan pesan hari ini, dan versi asli Anda dipindahkan ke /etc/motd1, sehingga Anda dapat menggunakan keberadaan file dengan nama tersebut sebagai indikator kasar kompromi (IoC).
  • Menggantikan apapun index.html file di /usr/lib/vmware pohon dengan catatan tebusan. Sekali lagi, file asli diganti namanya, kali ini menjadi index1.html. File dipanggil index.html adalah beranda untuk setiap portal web VMWare yang mungkin Anda buka di browser Anda.

Dari apa yang kami dengar, uang tebusan yang diminta ada di Bitcoin, tetapi berbeda dalam jumlah persisnya dan ID dompet yang akan mereka bayarkan, mungkin untuk menghindari kesan yang jelas pola pembayaran di blockchain BTC.

Namun, tampaknya pembayaran pemerasan biasanya ditetapkan sekitar BTC 2, saat ini hanya di bawah US$50,000.

PELAJARI LEBIH LANJUT: POLA PEMBAYARAN DI BLOCKCHAIN

Enkripsi secara singkat

Grafik encrypt program, secara efektif, adalah alat pengacakan satu file pada satu waktu yang berdiri sendiri.

Namun, mengingat cara kerjanya, tidak ada tujuan sah yang dapat dibayangkan untuk file ini.

Mungkin untuk menghemat waktu saat mengenkripsi, mengingat gambar mesin virtual biasanya berukuran gigabyte, atau bahkan terabyte, program dapat diberi parameter yang memerintahkannya untuk mengacak beberapa potongan file, sementara membiarkan sisanya.

Berbicara secara longgar, the Argumen malware melakukan pekerjaan kotornya dengan fungsi yang disebut encrypt_simple() (pada kenyataannya, itu tidak sederhana sama sekali, karena mengenkripsi dengan cara yang rumit yang tidak akan pernah digunakan oleh program keamanan asli), yang kira-kira seperti ini.

Nilai-nilai FILENAME, PEMFILE, M dan N di bawah ini dapat ditentukan saat runtime pada baris perintah.

Perhatikan bahwa malware berisi penerapan algoritma cipher Sosemanuk sendiri, meskipun bergantung pada OpenSSL untuk nomor acak yang digunakannya, dan untuk pemrosesan kunci publik RSA yang dilakukannya:

  1. Menghasilkan PUBKEY, kunci publik RSA, dengan membaca PEMFILE.
  2. Menghasilkan RNDKEY, kunci enkripsi simetris 32 byte acak.
  3. Pergi ke awal FILENAME
  4. Baca di M megabyte dari FILENAME.
  5. Perebutan data tersebut menggunakan stream cipher Sosemanuk RNDKEY.
  6. Timpa yang sama M megabyte dalam file dengan data terenkripsi.
  7. Melompat ke depan N megabyte dalam file.
  8. GOTO 4 jika ada data yang tersisa untuk diacak.
  9. Langsung ke akhir FILENAME.
  10. Gunakan enkripsi kunci publik RSA untuk berebut RNDKEY, Menggunakan PUBKEY.
  11. Tambahkan kunci dekripsi acak ke FILENAME.

Dalam file skrip yang kami lihat, di mana penyerang memanggil encrypt program, mereka tampaknya telah memilih M menjadi 1MByte, dan N menjadi 99Mbytes, sehingga mereka hanya benar-benar mengacak 1% dari semua file yang lebih besar dari 100MBytes.

Ini berarti mereka dapat menimbulkan kerusakan dengan cepat, tetapi hampir pasti membuat VM Anda tidak dapat digunakan, dan kemungkinan besar tidak dapat dipulihkan.

Menimpa 1MByte pertama biasanya membuat gambar tidak dapat di-boot, yang cukup buruk, dan mengacak 1% dari sisa gambar, dengan kerusakan yang didistribusikan ke seluruh file, menunjukkan kerusakan yang sangat besar.

Tingkat korupsi itu mungkin meninggalkan beberapa data asli yang dapat Anda ekstrak dari reruntuhan file, tetapi mungkin tidak banyak, jadi kami tidak menyarankan untuk mengandalkan fakta bahwa 99% file "masih OK" seperti jenis apa pun. pencegahan, karena data apa pun yang Anda pulihkan dengan cara ini harus dianggap sebagai keberuntungan, dan bukan perencanaan yang baik.

Jika penjahat menyimpan pasangan kunci privat ke kunci publik di file mereka PEMFILE rahasia, kecil kemungkinan Anda bisa mendekripsi RNDKEY, yang berarti Anda tidak dapat memulihkan sendiri bagian file yang diacak.

Dengan demikian permintaan ransomware.

Apa yang harus dilakukan?

Sangat sederhana:

  • Periksa apakah Anda memiliki tambalan yang diperlukan. Bahkan jika Anda "tahu" Anda menerapkannya kembali saat pertama kali keluar, periksa lagi untuk memastikannya. Anda seringkali hanya perlu meninggalkan satu lubang untuk memberi penyerang tempat berpijak untuk masuk.
  • Tinjau kembali proses pencadangan Anda. Pastikan Anda memiliki cara yang andal dan efektif untuk memulihkan data yang hilang dalam waktu yang wajar jika terjadi bencana, baik dari ransomware atau bukan. Jangan menunggu sampai setelah serangan ransomware untuk mengetahui bahwa Anda terjebak dengan dilema membayar karena Anda belum berlatih memulihkan dan tidak dapat melakukannya dengan cukup efisien.
  • Jika Anda tidak yakin atau tidak punya waktu, mintalah bantuan. Perusahaan seperti Sophos menyediakan keduanya XDR (deteksi dan respons yang diperluas) dan MDR (deteksi dan respons terkelola) yang dapat membantu Anda melampaui sekadar menunggu tanda-tanda masalah muncul di dasbor Anda. Ini bukan copout untuk meminta bantuan dari orang lain, terutama jika alternatif hanya tidak pernah memiliki waktu untuk mengejar Anda sendiri.

Stempel Waktu:

Lebih dari Keamanan Telanjang