Uporabnik VMWare? Vas skrbi "izsiljevalska programska oprema ESXi"? Preverite svoje popravke zdaj!

V novicah o kibernetski varnosti, vsaj v Evropi, trenutno prevladujejo zgodbe o »izsiljevalski programski opremi VMWare ESXi«, ki kroži, dobesedno in (vsaj v kriptografskem smislu) figurativno.

CERT-FR, francoska vladna ekipa za odzivanje na računalniške nujne primere, je ob koncu prejšnjega tedna sprožila tisto, kar se je hitro sprevrglo v majhno paniko, z biltenom z naslovom preprosto: Kampanja za izkoriščanje ranljivosti, ki vpliva na VMware ESXi (Kibernetski napad, ki izkorišča ranljivost VMWare ESXi).

Čeprav se naslov neposredno osredotoča na visoko stopnjo nevarnosti, in sicer na to, da vsaka ranljivost, ki jo je mogoče izkoristiti na daljavo, običajno omogoči napadalcem pot v vaše omrežje, da naredijo nekaj ali morda karkoli, kar jim je všeč ...

… prva vrstica poročila poda žalostno novico, da je Nekaj sleparji počnejo v tem primeru, kar imenujejo Francozi ransomware.

Verjetno vam tega ni treba vedeti programska oprema je francoska beseda za "programsko opremo", da bi uganili, da je beseda steblo ranço- prišel tako v sodobno francoščino (odkupnina) in angleščina (odkupnina) iz stare francoske besede ransoun, zato se beseda neposredno prevede v angleščino kot izsiljevalska.

V srednjem veku je bila ena poklicna nevarnost za monarhe v času vojne ta, da jih je sovražnik ujel in zadržal nekaj časa. ransoun, običajno pod kaznovalnimi pogoji, ki so učinkovito rešili spor v korist ugrabiteljev.

Dandanes so seveda vaši podatki tisti, ki so »zajeti« – čeprav se prevarantom dejansko ni treba truditi, da bi jih odnesli in zadržali v varnem zaporu na svoji strani meje, medtem ko te izsiljevati.

Lahko ga preprosto šifrirajo »v mirovanju« in ponudijo, da vam dajo ključ za dekriptiranje v zameno za svojo kazen ransoun.

Ironično je, da na koncu delujete kot sam svoj ječar, pri čemer morajo prevaranti obdržati le nekaj skrivnih bajtov (v tem primeru 32 bajtov), ​​da bodo vaši podatki ostali zaklenjeni v vašem lastnem posestvu IT, kolikor dolgo želijo.

Dobre in slabe novice

Tu je dobra novica: zdi se, da je trenutni izbruh napadov delo butične tolpe kibernetskih kriminalcev, ki se zanašajo na dve specifični ranljivosti VMWare ESXi, ki ju je dokumentiral VMware in popravil pred približno dvema letoma.

Z drugimi besedami, večina sistemskih skrbnikov bi pričakovala, da so pred temi napadalci najkasneje od začetka leta 2021, tako da to zagotovo ni situacija ničelnega dne.

Tukaj je slaba novica: če niste uporabili potrebnih popravkov v daljšem času, odkar so izšli, niste le v nevarnosti zaradi tega specifičnega napada izsiljevalske programske opreme, ampak tudi v nevarnosti skoraj vseh vrst kibernetskega kriminala – kraja podatkov, kripto rudarjenje, beleženje tipk, baza podatkov zastrupitev, zlonamerna programska oprema na prodajnem mestu in pošiljanje neželene e-pošte takoj pridejo na misel.

Tukaj je še nekaj slabih novic: izsiljevalsko programsko opremo, uporabljeno v tem napadu, ki jo boste videli različno imenovano Izsiljevalska programska oprema ESXi in Izsiljevalska programska oprema ESXiArgs, se zdi par datotek zlonamerne programske opreme za splošen namen, ena je lupinski skript, druga pa program za Linux (znan tudi kot binarni or izvedljiv datoteka).

Z drugimi besedami, čeprav morate nujno popraviti te stare šolske hrošče VMWare, če tega še niste storili, v tej zlonamerni programski opremi ni ničesar, kar bi jo neločljivo zaklenilo za napade samo prek ranljivosti VMWare ali za napade samo na podatkovne datoteke, povezane z VMWare.

Pravzaprav bomo izsiljevalsko programsko opremo imenovali samo po imenu Args v tem članku, da bi se izognili vtisu, da ga bodisi izrecno povzročajo sistemi in datoteke VMWare ESXi ali pa se lahko uporablja samo proti njim.

Kako deluje

Po podatkih CERT-FR. dve ranljivosti, na kateri morate biti pozorni takoj, sta:

• CVE-2021-21974 iz VMSA-2021-0002. ESXi OpenSLP ranljivost prelivanja kopice. Zlonamerni akter, ki prebiva v istem omrežnem segmentu kot ESXi in ima dostop do vrat 427, lahko sproži [] težavo prelivanja kopice v [] storitvi OpenSLP, kar ima za posledico oddaljeno izvajanje kode.
• CVE-2020-3992 iz VMSA-2020-0023. Ranljivost oddaljenega izvajanja kode ESXi OpenSLP. Zlonamerni akter, ki prebiva v omrežju za upravljanje in ima dostop do vrat 427 na napravi ESXi, lahko sproži uporabo po brezplačni uporabi v storitvi OpenSLP, kar ima za posledico oddaljeno izvajanje kode.

V obeh primerih je bil uradni nasvet VMWare, da popravite, če je to mogoče, ali, če morate za nekaj časa odložiti popravljanje, da onemogočite prizadeti SLP (protokol lokacije storitve) storitev.

VMWare ima stran z dolgoletnimi smernicami za rešitev problema Težave z varnostjo SLP, vključno s kodo skripta za začasen izklop SLP in ponovni vklop, ko ste popravljeni.

Škoda v tem napadu

V tem primeru Args napad, bojna glava, ki jo prevaranti očitno sprožijo, ko dobijo dostop do vašega ekosistema ESXi, vključuje zaporedje ukazov spodaj.

Izbrali smo kritične, da bo ta opis kratek:

• Ubijte delujoče virtualne stroje. Prevaranti tega ne počnejo elegantno, ampak preprosto pošljejo vsakemu vmx proces a SIGKILL (kill -9), da se program čim prej zruši. Predvidevamo, da je to hiter in umazan način za zagotovitev, da so vse datoteke VMWare, ki jih želijo premešati, odklenjene in jih je zato mogoče znova odpreti v načinu branja/pisanja.
• Izvozite seznam nosilcev datotečnega sistema ESXi. Prevaranti uporabljajo esxcli storage filesystem list ukaz, da dobite seznam nosilcev ESXi, ki jih želite iti.
• Poiščite pomembne datoteke VMWare za vsak nosilec. Prevaranti uporabljajo find ukaz za vsak nosilec v vašem /vmfs/volumes/ imenik za iskanje datotek s tega seznama končnic: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram in .vmem.
• Za vsako najdeno datoteko pokličite splošno orodje za šifriranje datotek. Program, imenovan encrypt, ki so ga naložili prevaranti, se uporablja za kodiranje vsake datoteke posebej v ločenem procesu. Šifriranja se torej izvajajo vzporedno, v ozadju, namesto da bi skript čakal, da se vsaka datoteka po vrsti premeša.

Ko se opravila šifriranja v ozadju začnejo, skript zlonamerne programske opreme spremeni nekatere sistemske datoteke, da zagotovi, da veste, kaj storiti naprej.

Nimamo svojih kopij nobenih dejanskih obvestil o odkupnini Args uporabljali prevaranti, vendar vam lahko povemo, kje jih iskati, če jih še niste videli sami, ker scenarij:

• Zamenja vašo /etc/motd datoteko z obvestilom o odkupnini. Ime motd je okrajšava za sporočilo dnevain vaša prvotna različica je premaknjena v /etc/motd1, tako da bi lahko prisotnost datoteke s tem imenom uporabili kot grobi indikator ogroženosti (IoC).
• Zamenja katero koli index.html datoteke v /usr/lib/vmware drevo z obvestilom o odkupnini. Spet se izvirne datoteke preimenujejo, tokrat v index1.html. Poklicane datoteke index.html so domače strani za vse spletne portale VMWare, ki jih morda odprete v brskalniku.

Kolikor smo slišali, so zahtevane odkupnine v bitcoinih, vendar se razlikujejo tako po natančnem znesku kot ID-ju denarnice, v katero bodo plačane, morda zato, da bi se izognili ustvarjanju očitnih plačilni vzorci v verigi blokov BTC.

Vendar se zdi, da je izsiljevalsko plačilo običajno nastavljeno na približno 2 BTC, kar je trenutno nekaj manj kot 50,000 USD.

---

VEČ VEČ: PLAČILNI VZORCI V VERIGI BLOKOV

---

Šifrer na kratko

O encrypt program je dejansko samostojno orodje za šifriranje ene datoteke naenkrat.

Glede na to, kako deluje, pa za to datoteko ni nobenega možnega legitimnega namena.

Verjetno zaradi prihranka časa med šifriranjem, glede na to, da so slike navideznega stroja običajno velike veliko gigabajtov ali celo terabajtov, lahko programu dodelimo parametre, ki mu povedo, naj premeša nekatere dele datoteke, ostalo pa pusti pri miru.

Ohlapno rečeno, Args zlonamerna programska oprema opravi svoje umazano delo s funkcijo, imenovano encrypt_simple() (pravzaprav sploh ni preprosto, ker šifrira na zapleten način, ki ga noben pravi varnostni program nikoli ne bi uporabil), kar gre nekako takole.

Vrednosti FILENAME, PEMFILE, M in N spodaj lahko podate med izvajanjem v ukazni vrstici.

Upoštevajte, da zlonamerna programska oprema vsebuje lastno implementacijo šifrirnega algoritma Sosemanuk, čeprav se zanaša na OpenSSL za naključna števila, ki jih uporablja, in za obdelavo javnega ključa RSA:

1. Ustvarjajo PUBKEY, javni ključ RSA, z branjem v PEMFILE.
2. Ustvarjajo RNDKEY, naključni 32-bajtni simetrični šifrirni ključ.
3. Pojdi na začetek FILENAME
4. Preberi v M megabajtov od FILENAME.
5. Prekodirajte te podatke z uporabo pretočne šifre Sosemanuk z RNDKEY.
6. Prepišite te iste M megabajtov v datoteki s šifriranimi podatki.
7. Skok naprej N megabajtov v datoteki.
8. GOTO 4 če je še kaj podatkov za prebrskati.
9. Skoči na konec FILENAME.
10. Za kodiranje uporabite šifriranje javnega ključa RSA RNDKEY, Uporaba PUBKEY.
11. Dodajte šifrirani ključ za dešifriranje FILENAME.

V skriptni datoteki, ki smo si jo ogledali, kjer napadalci prikličejo encrypt program, se zdi, da so izbrali M biti 1 MByte in N biti 99 Mbajtov, tako da dejansko premešajo samo 1 % vseh datotek, večjih od 100 MB.

To pomeni, da lahko hitro povzročijo svojo škodo, vendar skoraj zagotovo pustijo vaše VM neuporabne in zelo verjetno nepopravljive.

Če prepišete prvi 1MBbajt, običajno onemogočite zagon slike, kar je dovolj slabo, premešavanje 1 % preostale slike, s poškodbo, porazdeljeno po celotni datoteki, pa predstavlja ogromno poškodbo.

Ta stopnja poškodovanosti lahko pusti nekaj izvirnih podatkov, ki bi jih lahko izvlekli iz ruševin datoteke, vendar verjetno ne veliko, zato vam ne svetujemo, da se zanašate na dejstvo, da je 99 % datoteke »še vedno v redu« kot kakršno koli previdnostni ukrep, saj je treba vse podatke, ki jih obnovite na ta način, šteti za srečo in ne za dobro načrtovanje.

Če prevaranti hranijo dvojnik zasebnega ključa javnega ključa v svojih PEMFILE skrivnost, obstaja majhna možnost, da bi jo kdaj dešifrirali RNDKEY, kar pomeni, da ne morete sami obnoviti kodiranih delov datoteke.

Tako povpraševanje po izsiljevalski programski opremi.

Kaj storiti?

Zelo preprosto:

• Preverite, ali imate potrebne popravke. Tudi če »veš«, da si jih uporabil takoj, ko so prvič izšli, ponovno preveri, da se prepričaš. Pogosto morate zapustiti samo eno luknjo, da napadalcem omogočite dostop do obale.
• Ponovno si oglejte procese varnostnega kopiranja. Prepričajte se, da imate zanesljiv in učinkovit način za obnovitev izgubljenih podatkov v razumnem času, če pride do katastrofe, pa naj bo zaradi izsiljevalske programske opreme ali ne. Ne čakajte do konca napada z izsiljevalsko programsko opremo, da ugotovite, da ste obtičali pred dilemo, ali vseeno plačati, ker niste vadili obnavljanja in tega ne morete narediti dovolj učinkovito.
• Če niste prepričani ali nimate časa, prosite za pomoč. Podjetja, kot je Sophos, zagotavljajo oboje XDR (razširjeno zaznavanje in odziv) in MDR (upravljano odkrivanje in odziv), ki vam lahko pomaga preseči preprosto čakanje na znake težav, ki se prikažejo na vaši nadzorni plošči. Ni zanemarljivo prositi za pomoč nekoga drugega, še posebej, če alternativa preprosto nikoli nimate časa, da bi sami dohiteli.

---

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. Dostopite tukaj.
• vir: https://nakedsecurity.sophos.com/2023/02/07/using-vmware-worried-about-esxi-ransomware-check-your-patches-now/