Пользователь VMWare? Беспокоитесь о «программе-вымогателе ESXi»? Проверьте свои патчи прямо сейчас!

В новостях кибербезопасности, по крайней мере в Европе, в настоящее время преобладают истории о «программе-вымогателе VMWare ESXi», которая распространяется буквально и (по крайней мере, в криптографическом смысле) фигурально.

CERT-FR, группа реагирования на компьютерные чрезвычайные ситуации французского правительства, начала то, что быстро переросло в мини-панику в конце прошлой недели, с бюллетеня, озаглавленного просто: Кампания по эксплуатации уязвимостей, затрагивающих VMware ESXi (Кибератака с использованием уязвимости VMWare ESXi).

Хотя заголовок посвящен непосредственно опасности высокого уровня, а именно тому, что любая уязвимость, которую можно использовать удаленно, обычно дает злоумышленникам путь в вашу сеть, чтобы сделать что-то или, возможно, даже что угодно, что им нравится…

…первая строка отчета сообщает мрачную новость о том, что удалось мошенники делают в этом случае то, что французы называют Вымогатели.

Вам, вероятно, не нужно знать, что программное обеспечение это французское слово, обозначающее «программное обеспечение», чтобы догадаться, что основа слова рансо- вошел как в современный французский (rançon) и английский (выкуп) от старофранцузского слова рансон, и, таким образом, это слово переводится непосредственно на английский язык как вымогателей.

Еще в Средние века одной из профессиональных опасностей для монархов во время войны было попадание в плен к врагу и удержание в течение некоторого времени. рансон, как правило, в соответствии с карательными условиями, которые эффективно урегулировали конфликт в пользу похитителей.

В наши дни, конечно, именно ваши данные «захватываются» — хотя, как ни странно, мошенникам на самом деле не нужно беспокоиться о том, чтобы унести их и держать в надежной тюрьме на своей стороне границы, пока они шантажировать вас.

Они могут просто зашифровать его «на месте» и предложить вам ключ расшифровки в обмен на свои штрафные санкции. рансон.

По иронии судьбы, вы в конечном итоге действуете как свой собственный тюремщик, а мошенникам нужно удерживать всего несколько секретных байтов (в данном случае 32 байта), чтобы держать ваши данные запертыми в вашем собственном ИТ-пространстве столько, сколько им нравится.

Хорошие новости и плохие новости

Вот хорошие новости: Нынешний всплеск атак, похоже, является делом рук небольшой группы киберпреступников, которые полагаются на две конкретные уязвимости VMWare ESXi, которые были задокументированы VMware и исправлены около двух лет назад.

Другими словами, большинство системных администраторов ожидали бы опережать этих злоумышленников самое позднее с начала 2021 года, так что это определенно не ситуация нулевого дня.

Вот плохие новости: если вы не применяли необходимые исправления в течение длительного времени с момента их выпуска, вы подвергаетесь риску не только этой конкретной атаки программ-вымогателей, но и риску киберпреступлений практически любого рода — кражи данных, криптомайнинга, кейлогинга, баз данных. сразу приходят на ум отравления, вредоносное ПО для торговых точек и рассылка спама.

Вот еще плохие новости: программа-вымогатель, используемая в этой атаке, которую вы увидите по-разному Программа-вымогатель ESXi и Программа-вымогатель ESXiArgs, по-видимому, представляет собой пару файлов вредоносного ПО общего назначения, один из которых представляет собой сценарий оболочки, а другой — программу Linux (также известную как двоичный or выполнимый файл).

Другими словами, несмотря на то, что вам абсолютно необходимо исправлять эти старые ошибки VMWare, если вы еще этого не сделали, в этом вредоносном ПО нет ничего, что неразрывно блокирует его для атаки только через уязвимости VMWare или для атаки только на файлы данных, связанные с VMWare.

На самом деле, мы просто будем называть программу-вымогатель по имени Аргументы в этой статье, чтобы не создавалось впечатление, что это либо вызвано конкретно, либо может использоваться только против систем и файлов VMWare ESXi.

Как это работает?

Согласно CERT-FR. две уязвимости, на которые вам нужно обратить внимание сразу:

• CVE-2021-21974 из VMSA-2021-0002. Уязвимость ESXi OpenSLP, связанная с переполнением кучи. Злоумышленник, находящийся в том же сегменте сети, что и ESXi, и имеющий доступ к порту 427, может вызвать проблему переполнения кучи в службе OpenSLP, что приводит к удаленному выполнению кода.
• CVE-2020-3992 из VMSA-2020-0023. Уязвимость удаленного выполнения кода ESXi OpenSLP. Злоумышленник, находящийся в сети управления и имеющий доступ к порту 427 на компьютере ESXi, может инициировать использование после освобождения в службе OpenSLP, что приводит к удаленному выполнению кода.

В обоих случаях официальный совет VMWare заключался в том, чтобы по возможности установить исправление или, если вам необходимо отложить исправление на некоторое время, отключить затронутый SLP (протокол расположения службы) служба.

У VMWare есть страница с давним руководством по обходным Проблемы с безопасностью SLP, включая код сценария для временного отключения SLP и его повторного включения после установки исправления.

Урон от этой атаки

В этом Аргументы атака, боеголовка, которую мошенники, по-видимому, выпускают, как только они получают доступ к вашей экосистеме ESXi, включает в себя последовательность команд ниже.

Мы выбрали наиболее важные из них, чтобы это описание было кратким:

• Убейте работающие виртуальные машины. Мошенники не делают этого изящно, а просто отправляют каждый vmx обрабатывать SIGKILL (kill -9), чтобы как можно скорее завершить работу программы. Мы предполагаем, что это быстрый и грязный способ убедиться, что все файлы VMWare, которые они хотят зашифровать, разблокированы и, следовательно, могут быть повторно открыты в режиме чтения/записи.
• Экспортировать список томов файловой системы ESXi. Мошенники используют esxcli storage filesystem list команда, чтобы получить список томов ESXi, которые нужно выполнить.
• Найдите важные файлы VMWare для каждого тома. Мошенники используют find команду на каждом томе в вашем /vmfs/volumes/ каталог для поиска файлов из этого списка расширений: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram и .vmem.
• Вызов универсального средства скремблирования файлов для каждого найденного файла. Программа называется encrypt, загруженный мошенниками, используется для шифрования каждого файла по отдельности в отдельном процессе. Таким образом, шифрование происходит параллельно, в фоновом режиме, вместо того, чтобы сценарий ждал, пока каждый файл будет зашифрован по очереди.

После запуска фоновых задач шифрования скрипт вредоносного ПО изменяет некоторые системные файлы, чтобы вы знали, что делать дальше.

У нас нет собственных копий каких-либо реальных записок о выкупе, которые Аргументы мошенники использовали, но мы можем вам подсказать, где их искать, если вы сами их не видели, потому что скрипт:

• Заменяет ваш /etc/motd файл с запиской о выкупе. Имя motd является аббревиатурой сообщение дня, и ваша исходная версия будет перемещена в /etc/motd1, поэтому вы можете использовать наличие файла с таким именем в качестве грубого индикатора компрометации (IoC).
• Заменяет любой index.html файлы в /usr/lib/vmware дерево с запиской о выкупе. Снова исходные файлы переименовываются, на этот раз в index1.html. Файлы под названием index.html являются домашними страницами любых веб-порталов VMWare, которые вы можете открыть в своем браузере.

Из того, что мы слышали, требуемые выкупы указаны в биткойнах, но различаются как точной суммой, так и идентификатором кошелька, на который они должны быть оплачены, возможно, чтобы не создавать очевидных шаблоны платежей в блокчейне BTC.

Однако похоже, что платеж за шантаж обычно устанавливается на уровне около 2 BTC, что в настоящее время составляет чуть менее 50,000 XNUMX долларов США.

---

УЗНАТЬ БОЛЬШЕ: СХЕМЫ ОПЛАТЫ В БЛОКЧЕЙНЕ

---

Коротко о шифраторе

Ассоциация encrypt Программа фактически является автономным инструментом скремблирования по одному файлу за раз.

Однако, учитывая то, как это работает, у этого файла нет никакой мыслимой законной цели.

Предположительно для экономии времени при шифровании, учитывая, что образы виртуальных машин обычно имеют размер в несколько гигабайт или даже терабайт, программе могут быть заданы параметры, которые говорят ей шифровать некоторые фрагменты файла, оставляя остальные в покое.

Грубо говоря, Аргументы вредоносное ПО делает свою грязную работу с помощью функции под названием encrypt_simple() (на самом деле, это совсем не просто, потому что шифруется сложным способом, который никогда не использовала бы ни одна настоящая программа безопасности), что происходит примерно так.

Значения FILENAME, PEMFILE, M и N ниже можно указать во время выполнения в командной строке.

Обратите внимание, что вредоносное ПО содержит собственную реализацию алгоритма шифрования Сосеманука, хотя оно полагается на OpenSSL для используемых им случайных чисел и для обработки открытого ключа RSA:

1. Порождать PUBKEY, открытый ключ RSA, путем считывания PEMFILE.
2. Порождать RNDKEY, случайный 32-байтовый симметричный ключ шифрования.
3. Перейти к началу FILENAME
4. Читать в M мегабайт из FILENAME.
5. Зашифруйте эти данные, используя потоковый шифр Сосеманука с RNDKEY.
6. Перезаписать те же M мегабайт в файле с зашифрованными данными.
7. Перейти вперед N мегабайт в файле.
8. GOTO 4 если есть какие-либо данные, оставшиеся для перебора.
9. Перейти в конец FILENAME.
10. Используйте шифрование с открытым ключом RSA для шифрования RNDKEY, С помощью PUBKEY.
11. Добавьте зашифрованный ключ дешифрования в FILENAME.

В файле скрипта, который мы рассмотрели, злоумышленники вызывают encrypt программа, кажется, они выбрали M быть 1MB, и N быть 99 МБ, так что они фактически шифруют только 1% любых файлов размером более 100 МБ.

Это означает, что они могут быстро нанести ущерб, но почти наверняка оставят ваши виртуальные машины непригодными для использования и, скорее всего, безвозвратными.

Перезапись первого 1 Мбайта обычно приводит к невозможности загрузки образа, что уже достаточно плохо, а шифрование 1% остальной части образа с повреждением, распределенным по всему файлу, представляет собой огромное количество повреждений.

Такая степень повреждения может оставить некоторые исходные данные, которые вы могли бы извлечь из руин файла, но, вероятно, не так много, поэтому мы не советуем полагаться на тот факт, что 99% файла «все еще в порядке», как на какой-либо вид. осторожность, потому что любые данные, которые вы восстанавливаете таким образом, следует считать удачей, а не хорошим планированием.

Если мошенники хранят копию закрытого ключа открытого ключа в своих PEMFILE секрет, маловероятно, что вы когда-нибудь сможете расшифровать RNDKEY, что означает, что вы не можете самостоятельно восстановить зашифрованные части файла.

Таким образом спрос вымогателей.

Что делать?

Очень просто:

• Убедитесь, что у вас есть необходимые патчи. Даже если вы «знаете», что применили их сразу же, когда они впервые появились, проверьте еще раз, чтобы убедиться в этом. Часто вам нужно оставить только одну дыру, чтобы дать атакующим плацдарм для проникновения.
• Пересмотрите свои процессы резервного копирования. Убедитесь, что у вас есть надежный и эффективный способ восстановить потерянные данные в разумные сроки, если случится беда, будь то из-за программы-вымогателя или нет. Не ждите, пока после атаки программы-вымогателя обнаружится, что вы все равно застряли перед дилеммой оплаты, потому что вы не практиковались в восстановлении и не можете делать это достаточно эффективно.
• Если вы не уверены или у вас нет времени, обратитесь за помощью. Такие компании, как Sophos, предоставляют и то, и другое. XDR (расширенное обнаружение и реагирование) и MDR (управляемое обнаружение и реагирование), которые могут помочь вам выйти за рамки простого ожидания появления признаков неисправности на вашей информационной панели. Просить о помощи кого-то другого — не отговорка, особенно если альтернативой является просто отсутствие времени, чтобы наверстать упущенное самостоятельно.

---

• SEO-контент и PR-распределение. Получите усиление сегодня.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
• Источник: https://nakedsecurity.sophos.com/2023/02/07/using-vmware-worried-about-esxi-ransomware-check-your-patches-now/