В новостях кибербезопасности, по крайней мере в Европе, в настоящее время преобладают истории о «программе-вымогателе VMWare ESXi», которая распространяется буквально и (по крайней мере, в криптографическом смысле) фигурально.
CERT-FR, группа реагирования на компьютерные чрезвычайные ситуации французского правительства, начала то, что быстро переросло в мини-панику в конце прошлой недели, с бюллетеня, озаглавленного просто: Кампания по эксплуатации уязвимостей, затрагивающих VMware ESXi (Кибератака с использованием уязвимости VMWare ESXi).
Хотя заголовок посвящен непосредственно опасности высокого уровня, а именно тому, что любая уязвимость, которую можно использовать удаленно, обычно дает злоумышленникам путь в вашу сеть, чтобы сделать что-то или, возможно, даже что угодно, что им нравится…
…первая строка отчета сообщает мрачную новость о том, что удалось мошенники делают в этом случае то, что французы называют Вымогатели.
Вам, вероятно, не нужно знать, что программное обеспечение это французское слово, обозначающее «программное обеспечение», чтобы догадаться, что основа слова рансо- вошел как в современный французский (rançon) и английский (выкуп) от старофранцузского слова рансон, и, таким образом, это слово переводится непосредственно на английский язык как вымогателей.
Еще в Средние века одной из профессиональных опасностей для монархов во время войны было попадание в плен к врагу и удержание в течение некоторого времени. рансон, как правило, в соответствии с карательными условиями, которые эффективно урегулировали конфликт в пользу похитителей.
В наши дни, конечно, именно ваши данные «захватываются» — хотя, как ни странно, мошенникам на самом деле не нужно беспокоиться о том, чтобы унести их и держать в надежной тюрьме на своей стороне границы, пока они шантажировать вас.
Они могут просто зашифровать его «на месте» и предложить вам ключ расшифровки в обмен на свои штрафные санкции. рансон.
По иронии судьбы, вы в конечном итоге действуете как свой собственный тюремщик, а мошенникам нужно удерживать всего несколько секретных байтов (в данном случае 32 байта), чтобы держать ваши данные запертыми в вашем собственном ИТ-пространстве столько, сколько им нравится.
Хорошие новости и плохие новости
Вот хорошие новости: Нынешний всплеск атак, похоже, является делом рук небольшой группы киберпреступников, которые полагаются на две конкретные уязвимости VMWare ESXi, которые были задокументированы VMware и исправлены около двух лет назад.
Другими словами, большинство системных администраторов ожидали бы опережать этих злоумышленников самое позднее с начала 2021 года, так что это определенно не ситуация нулевого дня.
Вот плохие новости: если вы не применяли необходимые исправления в течение длительного времени с момента их выпуска, вы подвергаетесь риску не только этой конкретной атаки программ-вымогателей, но и риску киберпреступлений практически любого рода — кражи данных, криптомайнинга, кейлогинга, баз данных. сразу приходят на ум отравления, вредоносное ПО для торговых точек и рассылка спама.
Вот еще плохие новости: программа-вымогатель, используемая в этой атаке, которую вы увидите по-разному Программа-вымогатель ESXi и Программа-вымогатель ESXiArgs, по-видимому, представляет собой пару файлов вредоносного ПО общего назначения, один из которых представляет собой сценарий оболочки, а другой — программу Linux (также известную как двоичный or выполнимый файл).
Другими словами, несмотря на то, что вам абсолютно необходимо исправлять эти старые ошибки VMWare, если вы еще этого не сделали, в этом вредоносном ПО нет ничего, что неразрывно блокирует его для атаки только через уязвимости VMWare или для атаки только на файлы данных, связанные с VMWare.
На самом деле, мы просто будем называть программу-вымогатель по имени Аргументы в этой статье, чтобы не создавалось впечатление, что это либо вызвано конкретно, либо может использоваться только против систем и файлов VMWare ESXi.
Как это работает?
Согласно CERT-FR. две уязвимости, на которые вам нужно обратить внимание сразу:
- CVE-2021-21974 из VMSA-2021-0002. Уязвимость ESXi OpenSLP, связанная с переполнением кучи. Злоумышленник, находящийся в том же сегменте сети, что и ESXi, и имеющий доступ к порту 427, может вызвать проблему переполнения кучи в службе OpenSLP, что приводит к удаленному выполнению кода.
- CVE-2020-3992 из VMSA-2020-0023. Уязвимость удаленного выполнения кода ESXi OpenSLP. Злоумышленник, находящийся в сети управления и имеющий доступ к порту 427 на компьютере ESXi, может инициировать использование после освобождения в службе OpenSLP, что приводит к удаленному выполнению кода.
В обоих случаях официальный совет VMWare заключался в том, чтобы по возможности установить исправление или, если вам необходимо отложить исправление на некоторое время, отключить затронутый SLP (протокол расположения службы) служба.
У VMWare есть страница с давним руководством по обходным Проблемы с безопасностью SLP, включая код сценария для временного отключения SLP и его повторного включения после установки исправления.
Урон от этой атаки
В этом Аргументы атака, боеголовка, которую мошенники, по-видимому, выпускают, как только они получают доступ к вашей экосистеме ESXi, включает в себя последовательность команд ниже.
Мы выбрали наиболее важные из них, чтобы это описание было кратким:
- Убейте работающие виртуальные машины. Мошенники не делают этого изящно, а просто отправляют каждый
vmx
обрабатыватьSIGKILL
(kill -9
), чтобы как можно скорее завершить работу программы. Мы предполагаем, что это быстрый и грязный способ убедиться, что все файлы VMWare, которые они хотят зашифровать, разблокированы и, следовательно, могут быть повторно открыты в режиме чтения/записи. - Экспортировать список томов файловой системы ESXi. Мошенники используют
esxcli storage filesystem list
команда, чтобы получить список томов ESXi, которые нужно выполнить. - Найдите важные файлы VMWare для каждого тома. Мошенники используют
find
команду на каждом томе в вашем/vmfs/volumes/
каталог для поиска файлов из этого списка расширений:.vmdk
,.vmx
,.vmxf
,.vmsd
,.vmsn
,.vswp
,.vmss
,.nvram
и.vmem
. - Вызов универсального средства скремблирования файлов для каждого найденного файла. Программа называется
encrypt
, загруженный мошенниками, используется для шифрования каждого файла по отдельности в отдельном процессе. Таким образом, шифрование происходит параллельно, в фоновом режиме, вместо того, чтобы сценарий ждал, пока каждый файл будет зашифрован по очереди.
После запуска фоновых задач шифрования скрипт вредоносного ПО изменяет некоторые системные файлы, чтобы вы знали, что делать дальше.
У нас нет собственных копий каких-либо реальных записок о выкупе, которые Аргументы мошенники использовали, но мы можем вам подсказать, где их искать, если вы сами их не видели, потому что скрипт:
- Заменяет ваш
/etc/motd
файл с запиской о выкупе. Имяmotd
является аббревиатурой сообщение дня, и ваша исходная версия будет перемещена в/etc/motd1
, поэтому вы можете использовать наличие файла с таким именем в качестве грубого индикатора компрометации (IoC). - Заменяет любой
index.html
файлы в/usr/lib/vmware
дерево с запиской о выкупе. Снова исходные файлы переименовываются, на этот раз вindex1.html
. Файлы под названиемindex.html
являются домашними страницами любых веб-порталов VMWare, которые вы можете открыть в своем браузере.
Из того, что мы слышали, требуемые выкупы указаны в биткойнах, но различаются как точной суммой, так и идентификатором кошелька, на который они должны быть оплачены, возможно, чтобы не создавать очевидных шаблоны платежей в блокчейне BTC.
Однако похоже, что платеж за шантаж обычно устанавливается на уровне около 2 BTC, что в настоящее время составляет чуть менее 50,000 XNUMX долларов США.
УЗНАТЬ БОЛЬШЕ: СХЕМЫ ОПЛАТЫ В БЛОКЧЕЙНЕ
Коротко о шифраторе
Ассоциация encrypt
Программа фактически является автономным инструментом скремблирования по одному файлу за раз.
Однако, учитывая то, как это работает, у этого файла нет никакой мыслимой законной цели.
Предположительно для экономии времени при шифровании, учитывая, что образы виртуальных машин обычно имеют размер в несколько гигабайт или даже терабайт, программе могут быть заданы параметры, которые говорят ей шифровать некоторые фрагменты файла, оставляя остальные в покое.
Грубо говоря, Аргументы вредоносное ПО делает свою грязную работу с помощью функции под названием encrypt_simple()
(на самом деле, это совсем не просто, потому что шифруется сложным способом, который никогда не использовала бы ни одна настоящая программа безопасности), что происходит примерно так.
Значения FILENAME
, PEMFILE
, M
и N
ниже можно указать во время выполнения в командной строке.
Обратите внимание, что вредоносное ПО содержит собственную реализацию алгоритма шифрования Сосеманука, хотя оно полагается на OpenSSL для используемых им случайных чисел и для обработки открытого ключа RSA:
- Порождать
PUBKEY
, открытый ключ RSA, путем считыванияPEMFILE
. - Порождать
RNDKEY
, случайный 32-байтовый симметричный ключ шифрования. - Перейти к началу
FILENAME
- Читать в
M
мегабайт изFILENAME
. - Зашифруйте эти данные, используя потоковый шифр Сосеманука с
RNDKEY
. - Перезаписать те же
M
мегабайт в файле с зашифрованными данными. - Перейти вперед
N
мегабайт в файле. GOTO 4
если есть какие-либо данные, оставшиеся для перебора.- Перейти в конец
FILENAME
. - Используйте шифрование с открытым ключом RSA для шифрования
RNDKEY
, С помощьюPUBKEY
. - Добавьте зашифрованный ключ дешифрования в
FILENAME
.
В файле скрипта, который мы рассмотрели, злоумышленники вызывают encrypt
программа, кажется, они выбрали M
быть 1MB, и N
быть 99 МБ, так что они фактически шифруют только 1% любых файлов размером более 100 МБ.
Это означает, что они могут быстро нанести ущерб, но почти наверняка оставят ваши виртуальные машины непригодными для использования и, скорее всего, безвозвратными.
Перезапись первого 1 Мбайта обычно приводит к невозможности загрузки образа, что уже достаточно плохо, а шифрование 1% остальной части образа с повреждением, распределенным по всему файлу, представляет собой огромное количество повреждений.
Такая степень повреждения может оставить некоторые исходные данные, которые вы могли бы извлечь из руин файла, но, вероятно, не так много, поэтому мы не советуем полагаться на тот факт, что 99% файла «все еще в порядке», как на какой-либо вид. осторожность, потому что любые данные, которые вы восстанавливаете таким образом, следует считать удачей, а не хорошим планированием.
Если мошенники хранят копию закрытого ключа открытого ключа в своих PEMFILE
секрет, маловероятно, что вы когда-нибудь сможете расшифровать RNDKEY
, что означает, что вы не можете самостоятельно восстановить зашифрованные части файла.
Таким образом спрос вымогателей.
Что делать?
Очень просто:
- Убедитесь, что у вас есть необходимые патчи. Даже если вы «знаете», что применили их сразу же, когда они впервые появились, проверьте еще раз, чтобы убедиться в этом. Часто вам нужно оставить только одну дыру, чтобы дать атакующим плацдарм для проникновения.
- Пересмотрите свои процессы резервного копирования. Убедитесь, что у вас есть надежный и эффективный способ восстановить потерянные данные в разумные сроки, если случится беда, будь то из-за программы-вымогателя или нет. Не ждите, пока после атаки программы-вымогателя обнаружится, что вы все равно застряли перед дилеммой оплаты, потому что вы не практиковались в восстановлении и не можете делать это достаточно эффективно.
- Если вы не уверены или у вас нет времени, обратитесь за помощью. Такие компании, как Sophos, предоставляют и то, и другое. XDR (расширенное обнаружение и реагирование) и MDR (управляемое обнаружение и реагирование), которые могут помочь вам выйти за рамки простого ожидания появления признаков неисправности на вашей информационной панели. Просить о помощи кого-то другого — не отговорка, особенно если альтернативой является просто отсутствие времени, чтобы наверстать упущенное самостоятельно.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://nakedsecurity.sophos.com/2023/02/07/using-vmware-worried-about-esxi-ransomware-check-your-patches-now/
- 000
- 1
- 2021
- a
- в состоянии
- О нас
- Absolute
- абсолютно
- доступ
- на самом деле
- совет
- После
- против
- Века
- впереди
- алгоритм
- Все
- в одиночестве
- уже
- альтернатива
- Несмотря на то, что
- количество
- и
- прикладной
- около
- гайд
- атаковать
- Атакующий
- нападки
- автор
- автоматический
- назад
- фон
- Фоновое изображение
- Восстановление
- Плохой
- , так как:
- начало
- не являетесь
- ниже
- Beyond
- Bitcoin
- Шантаж
- граница
- Дно
- браузер
- BTC
- ошибки
- бюллетень
- призывают
- под названием
- проведение
- случаев
- случаев
- Привлекайте
- вызванный
- Центр
- конечно
- шанс
- изменения
- проверка
- выбранный
- шифр
- код
- цвет
- Компании
- сложный
- скомпрометированы
- компьютер
- конфликт
- считается
- содержит
- копии
- коррупция
- может
- курс
- чехол для варгана
- Crash
- Создающий
- критической
- Крюки
- сырой
- криптографический
- Крипто Майнинг
- Текущий
- В настоящее время
- киберпреступники
- ОПАСНО!
- приборная панель
- данным
- База данных
- Дней
- Decrypt
- определенно
- Степень
- Спрос
- требуемый
- описание
- обнаружение
- непосредственно
- катастрофа
- обнаружить
- Дисплей
- распределенный
- дело
- Dont
- каждый
- Рано
- экосистема
- Эффективный
- фактически
- эффективно
- или
- крайняя необходимость
- зашифрованный
- шифрование
- Английский
- достаточно
- обеспечение
- особенно
- имущество
- Европе
- Даже
- НИКОГДА
- Каждая
- выполнение
- ожидать
- расширения
- извлечение
- несколько
- Файл
- Файлы
- First
- фокусируется
- найденный
- Французский
- от
- функция
- шайка
- общее назначение
- получить
- получающий
- Дайте
- данный
- дает
- Отдаете
- Go
- идет
- хорошо
- происходить
- имеющий
- заголовок
- услышанный
- высота
- Герой
- помощь
- на высшем уровне
- держать
- проведение
- Отверстие
- Главная
- зависать
- Как
- Однако
- HTML
- HTTPS
- огромный
- изображение
- изображений
- немедленно
- реализация
- важную
- in
- включает в себя
- В том числе
- Индикаторные
- в отдельности
- вместо
- вопрос
- IT
- Сохранить
- Основные
- Знать
- известный
- больше
- Фамилия
- последний
- Оставлять
- уход
- Вероятно
- линия
- Linux
- Список
- мало
- расположение
- запертый
- Волосы
- Длинное
- давнишний
- посмотреть
- смотрел
- удачи
- машина
- Продукция
- сделать
- ДЕЛАЕТ
- вредоносных программ
- управляемого
- управление
- многих
- Маржа
- макс-ширина
- означает
- средняя
- может быть
- против
- режим
- Модерн
- БОЛЕЕ
- самых
- имя
- а именно
- Необходимость
- необходимый
- нуждающихся
- сеть
- Новости
- следующий
- "обычные"
- Заметки
- номера
- Очевидный
- профессиональный
- предлагают
- Официальный представитель в Грузии
- Старый
- ONE
- OpenSSL
- оригинал
- Другое
- собственный
- выплачен
- Параллельные
- параметры
- части
- Патчи
- Патчи
- Заделка
- путь
- паттеранами
- Пол
- платить
- оплата
- возможно
- взял
- планирование
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- поп
- должность
- возможное
- Блог
- присутствие
- тюрьма
- вероятно
- процесс
- Процессы
- обработка
- FitPartner™
- обеспечивать
- что такое варган?
- публичный ключ
- цель
- положил
- быстро
- случайный
- Выкуп
- вымогателей
- Атака вымогателей
- Reading
- разумный
- Recover
- назвало
- складская
- удаленные
- отчету
- представляет
- ответ
- ОТДЫХ
- восстановление
- в результате
- возвращают
- Снижение
- туры
- RSA
- РУИНЫ
- Бег
- то же
- Сохранить
- Secret
- безопасный
- безопасность
- кажется
- сегмент
- отправка
- смысл
- отдельный
- Последовательность
- обслуживание
- набор
- Стабильный
- Оболочка
- Короткое
- должен
- Признаки
- просто
- просто
- с
- ситуация
- Размер
- SLP
- So
- твердый
- некоторые
- Кто-то
- удалось
- Скоро
- Говоря
- конкретный
- конкретно
- указанный
- весна
- автономные
- ножка
- диск
- Истории
- поток
- удар
- такие
- SVG
- система
- системы
- задачи
- команда
- terms
- Ассоциация
- их
- следовательно
- по всему
- время
- в
- инструментом
- топ
- переход
- прозрачный
- вызвать
- беда
- ОЧЕРЕДЬ
- Оказалось
- Поворот
- типично
- под
- загружено
- URL
- использование
- использовать после освобождения
- Информация о пользователе
- Наши ценности
- версия
- с помощью
- Виртуальный
- виртуальная машина
- VMware
- объем
- тома
- Уязвимости
- уязвимость
- ждать
- Ожидание
- Кошелек
- войны
- Web
- неделя
- Что
- будь то
- который
- в то время как
- КТО
- в
- Word
- слова
- Работа
- работает
- работает
- беспокоиться
- бы
- лет
- ВАШЕ
- себя
- зефирнет