VMWare kullanıcısı mısınız? “ESXi fidye yazılımı” konusunda endişeli misiniz? Yamalarınızı şimdi kontrol edin!

VMWare kullanıcısı mısınız? “ESXi fidye yazılımı” konusunda endişeli misiniz? Yamalarınızı şimdi kontrol edin!

Zaman Damgası: 7 Şubat 2023 2:59
Kaynak Düğüm: 1945764
by paul ördeklin

Siber güvenlik haberlerine, en azından Avrupa'da, şu anda kelimenin tam anlamıyla ve (en azından kriptografik anlamda) mecazi olarak ortalıkta dolaşan "VMWare ESXi fidye yazılımı" hakkındaki hikayeler hakimdir.

Fransız hükümetinin bilgisayar acil durum müdahale ekibi CERT-FR, geçen haftanın sonunda kısa sürede mini bir paniğe dönüşen olayı basitçe şu başlığı taşıyan bir bültenle başlattı: VMware ESXi'yi etkileyen güvenlik açığından yararlanma kampanyası (Bir VMWare ESXi güvenlik açığından yararlanan siber saldırı).

Başlık doğrudan üst düzey tehlikeye odaklansa da, yani herhangi bir uzaktan istismar edilebilir güvenlik açığı tipik olarak saldırganlara ağınıza girerek istedikleri bir şeyi, hatta belki de herhangi bir şeyi yapmaları için bir yol sağlar...

...raporun ilk satırı asık suratlılara şu haberi veriyor: bir şey dolandırıcıların bu durumda yaptığı şey, Fransızların dediği şey Fidye yazılımı.

Muhtemelen bunu bilmene gerek yok logiciel kelimesinin kök olduğunu tahmin etmek için “yazılım” için Fransızca bir kelimedir. Ranço hem modern Fransızcaya geldi (fidye) ve ingilizce (fidye) Eski Fransızca kelimeden fidyeve böylece kelime doğrudan İngilizce'ye şu şekilde çevrilir: fidye.

Orta Çağ'da, savaş zamanında hükümdarlar için bir mesleki tehlike, düşman tarafından ele geçirilmek ve bir süre alıkonulmaktı. fidye, tipik olarak çatışmayı esir alanların lehine etkili bir şekilde çözen cezai şartlar altında.

Bu günlerde, elbette, verileriniz "ele geçiriliyor" - ancak, sapkın bir şekilde, dolandırıcıların onları taşıma ve sınırın kendi taraflarındaki güvenli bir hapishanede tutma zahmetine katlanmalarına gerek yok. sana şantaj

Onu "hareket halindeyken" şifreleyebilirler ve cezai yaptırımları karşılığında size şifre çözme anahtarını vermeyi teklif edebilirler. fidye.

İronik bir şekilde, dolandırıcıların verilerinizi istedikleri kadar kendi BT mülkünüzde kilitli tutmak için yalnızca birkaç gizli baytı (bu durumda 32 bayt) tutması gerektiğinden, sonunda kendi gardiyanınız gibi davranmaya başlarsınız.

İyi ve kötü haberler

İşte iyi haber: Mevcut saldırı patlaması, VMware tarafından belgelenen ve yaklaşık iki yıl önce yamalanan iki özel VMWare ESXi güvenlik açığına dayanan bir butik siber suçlular çetesinin işi gibi görünüyor.

Başka bir deyişle, çoğu sistem yöneticisi en geç 2021'in başından beri bu saldırganların önünde olmayı bekler, bu nedenle bu kesinlikle bir sıfır gün durumu değildir.

İşte kötü haber: Gerekli yamaları yayınlandıklarından bu yana uzun süre uygulamadıysanız, yalnızca bu özel fidye yazılımı saldırısı riski altında değilsiniz, aynı zamanda hemen hemen her türden siber suç riski altındasınız – veri çalma, kripto madenciliği, keylogging, veritabanı zehirlenme, satış noktası kötü amaçlı yazılımları ve spam gönderme hemen akla gelir.

İşte bir kötü haber daha: olarak anıldığını göreceğiniz bu saldırıda kullanılan fidye yazılımı ESXi fidye yazılımı ve ESXiArgs fidye yazılımı, genel amaçlı bir kötü amaçlı yazılım dosyası çifti gibi görünüyor, biri bir kabuk betiği, diğeri bir Linux programı (aynı zamanda bir Linux programı olarak da bilinir). ikili or çalıştırılabilir dosyası).

Diğer bir deyişle, henüz yapmadıysanız, bu eski tip VMWare hatalarına karşı yama yapmanız gerekse de, bu kötü amaçlı yazılım hakkında onu yalnızca VMWare güvenlik açıkları aracılığıyla saldırmaya veya yalnızca VMWare ile ilgili veri dosyalarına saldırmaya ayrılmaz bir şekilde kilitleyen hiçbir şey yoktur.

Aslında, fidye yazılımına yalnızca adıyla atıfta bulunacağız. bağımsız değişkenler Bu makalede, özellikle VMWare ESXi sistemleri ve dosyalarından kaynaklandığı veya yalnızca bunlara karşı kullanılabileceği izlenimini vermekten kaçınmak için.

Nasıl çalışır

CERT-FR'ye göre. hemen dikkat etmeniz gereken iki güvenlik açığı şunlardır:

  • VMSA-2021-21974'den CVE-2021-0002. ESXi OpenSLP yığın taşması güvenlik açığı. ESXi ile aynı ağ segmentinde bulunan ve 427 numaralı bağlantı noktasına erişimi olan kötü niyetli bir aktör, OpenSLP hizmetinde [a] yığın taşması sorununu tetikleyerek uzaktan kod yürütülmesine neden olabilir.
  • VMSA-2020-3992'den CVE-2020-0023. ESXi OpenSLP uzaktan kod yürütme güvenlik açığı. Yönetim ağında bulunan ve bir ESXi makinesinde 427 numaralı bağlantı noktasına erişimi olan kötü niyetli bir aktör, OpenSLP hizmetinde uzaktan kod yürütülmesiyle sonuçlanan bir kullanım sonrası serbestliği tetikleyebilir.

Her iki durumda da, VMWare'in resmi tavsiyesi, mümkünse yama yapmak veya yamayı bir süreliğine ertelemeniz gerekirse, etkilenen SLP'yi devre dışı bırakmaktı (hizmet yeri protokolü) hizmet.

VMWare, etrafında çalışmak için uzun süredir devam eden rehberlik içeren bir sayfaya sahiptir. SLP güvenlik sorunları, SLP'yi geçici olarak kapatmak ve yama uygulandıktan sonra tekrar açmak için komut dosyası kodu dahil.

Bu saldırıdaki hasar

Bu bağımsız değişkenler ESXi ekosisteminize eriştikten sonra dolandırıcıların ortaya çıkardığı savaş başlığı olan saldırı, aşağıdaki komut dizisini içerir.

Bu açıklamayı kısa tutmak için kritik olanları seçtik:

  • Çalışan sanal makineleri kapatın. Dolandırıcılar bunu zarif bir şekilde değil, sadece her birini göndererek yaparlar. vmx bir işlem SIGKILL (kill -9) en kısa sürede programı çökertmek için. Bunun, karıştırmak istedikleri tüm VMWare dosyalarının kilidinin açılmasını ve bu nedenle okuma/yazma modunda yeniden açılabilmesini sağlamanın hızlı ve kirli bir yolu olduğunu varsayıyoruz.
  • Bir ESXi dosya sistemi birim listesini dışa aktarın. Dolandırıcılar esxcli storage filesystem list peşinden gidilecek ESXi birimlerinin bir listesini almak için komut.
  • Her birim için önemli VMWare dosyalarını bulun. Dolandırıcılar find içindeki her birimde komut /vmfs/volumes/ bu uzantı listesindeki dosyaları bulmak için dizin: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram ve .vmem.
  • Bulunan her dosya için genel amaçlı bir dosya karıştırma aracı çağırın. Denilen bir program encrypt, dolandırıcılar tarafından yüklenen, her dosyayı ayrı bir işlemde ayrı ayrı karıştırmak için kullanılır. Bu nedenle şifrelemeler, her dosyanın sırayla karıştırılmasını bekleyen betik yerine arka planda paralel olarak gerçekleşir.

Arka planda şifreleme görevleri başladıktan sonra, kötü amaçlı yazılım komut dosyası, daha sonra ne yapacağınızı bildiğinizden emin olmak için bazı sistem dosyalarını değiştirir.

Gerçek fidye notlarının kendi kopyalarına sahip değiliz. bağımsız değişkenler Dolandırıcılar kullandı, ancak bunları kendiniz görmediyseniz onları nerede arayacağınızı söyleyebiliriz çünkü komut dosyası:

  • senin yerini alır /etc/motd bir fidye notu ile dosya. Adı motd için kısa Günün mesajıve orijinal sürümünüz şuraya taşınır: /etc/motd1, bu nedenle, bu ada sahip bir dosyanın varlığını uzlaşmanın kaba bir göstergesi (IoC) olarak kullanabilirsiniz.
  • Herhangi birini değiştirir index.html dosyalar /usr/lib/vmware bir fidye notu ile ağaç. Yine, orijinal dosyalar yeniden adlandırılır, bu sefer index1.html. çağrılan dosyalar index.html tarayıcınızda açabileceğiniz tüm VMWare web portallarının ana sayfalarıdır.

Duyduğumuza göre, talep edilen fidyeler Bitcoin cinsinden, ancak hem tam miktar hem de ödenecekleri cüzdan kimliği açısından farklılık gösteriyor. BTC blok zincirindeki ödeme modelleri.

Bununla birlikte, şantaj ödemesinin şu anda 2 ABD Dolarının biraz altında olan yaklaşık 50,000 BTC olarak ayarlandığı görülüyor.

DAHA FAZLASINI ÖĞRENİN: BLOK ZİNCİRİNDEKİ ÖDEME ŞEKİLLERİ

Kısaca şifreleyici

The encrypt program, etkili bir şekilde, bağımsız, her seferinde bir dosya karıştırma aracıdır.

Bununla birlikte, nasıl çalıştığı göz önüne alındığında, bu dosya için makul bir meşru amaç yoktur.

Sanal makine görüntülerinin boyut olarak genellikle birçok gigabayt, hatta terabayt olduğu göz önüne alındığında, muhtemelen şifreleme sırasında zaman kazanmak için, programa dosyanın bazı parçalarını karıştırmasını ve geri kalanını kendi haline bırakmasını söyleyen parametreler verilebilir.

Kabaca konuşursak, bağımsız değişkenler Kötü amaçlı yazılım, kirli işlerini, adı verilen bir işlevle gerçekleştirir. encrypt_simple() (aslında, hiç de basit değil, çünkü hiçbir gerçek güvenlik programının asla kullanmayacağı karmaşık bir şekilde şifreliyor), bu da buna benzer bir şey.

Değerleri FILENAME, PEMFILE, M ve N Aşağıdaki komut satırında çalışma zamanında belirtilebilir.

Kötü amaçlı yazılımın kendi Sosemanuk şifre algoritması uygulamasını içerdiğini, ancak kullandığı rasgele sayılar için OpenSSL'ye ve yaptığı RSA ortak anahtar işlemesine güvendiğini unutmayın:

  1. Oluşturmak PUBKEYokuyarak bir RSA genel anahtarı PEMFILE.
  2. Oluşturmak RNDKEY, rastgele, 32 baytlık simetrik bir şifreleme anahtarı.
  3. başına git FILENAME
  4. oku M gelen megabayt FILENAME.
  5. Sosemanuk akış şifresini kullanarak bu verileri karıştır RNDKEY.
  6. Aynı olanların üzerine yaz M şifrelenmiş verilerle dosyadaki megabayt.
  7. ileri atla N dosyadaki megabayt.
  8. GOTO 4 Karıştırmak için herhangi bir veri kaldıysa.
  9. sonuna atla FILENAME.
  10. Karıştırmak için RSA genel anahtar şifrelemesini kullanın RNDKEYKullanılarak PUBKEY.
  11. Şifreli şifre çözme anahtarını şuraya ekleyin: FILENAME.

Baktığımız betik dosyasında, saldırganlar encrypt programı seçmiş görünüyorlar. M 1MByte olmak ve N 99Mbayt olacak şekilde, 1MBayttan büyük dosyaların yalnızca %100'ini karıştırırlar.

Bu, hasarlarını hızlı bir şekilde verecekleri, ancak VM'lerinizi neredeyse kesinlikle kullanılamaz ve büyük olasılıkla kurtarılamaz bırakacakları anlamına gelir.

İlk 1MByte'ın üzerine yazılması, genellikle bir görüntüyü önyüklenemez hale getirir, bu yeterince kötüdür ve görüntünün geri kalanının %1'ini karıştırmak, hasar dosya boyunca dağıtılır ve büyük miktarda bozulmayı temsil eder.

Bu derecede bozulma, dosyanın kalıntılarından çıkarabileceğiniz bazı orijinal veriler bırakabilir, ancak muhtemelen fazla değildir, bu nedenle dosyanın %99'inin "hala iyi" olduğu gerçeğine güvenmenizi tavsiye etmiyoruz. önlem, çünkü bu şekilde kurtardığınız herhangi bir veri iyi bir planlama olarak değil, iyi şans olarak değerlendirilmelidir.

Dolandırıcılar genel anahtarın özel anahtarının karşılığını kendi hesaplarında tutarsa PEMFILE sır, şifresini çözebilmen için çok az şans var RNDKEY, bu, dosyanın karıştırılmış kısımlarını kendi başınıza kurtaramayacağınız anlamına gelir.

Böylece fidye yazılımı talebi.

Ne yapalım?

Çok basit:

  • Gerekli yamalara sahip olup olmadığınızı kontrol edin. Bunları ilk çıktıklarında uyguladığınızı “bilseniz” bile emin olmak için tekrar kontrol edin. Saldırganlara içeri girebilecekleri bir mevzi sağlamak için genellikle yalnızca bir delik bırakmanız gerekir.
  • Yedekleme işlemlerinizi tekrar ziyaret edin. Fidye yazılımından olsun ya da olmasın, bir felaket meydana gelirse, kayıp verileri makul bir sürede kurtarmanın güvenilir ve etkili bir yoluna sahip olduğunuzdan emin olun. Geri yükleme alıştırması yapmadığınız ve bunu yeterince verimli bir şekilde yapamadığınız için zaten ödeme yapma ikilemiyle karşı karşıya kaldığınızı keşfetmek için bir fidye yazılımı saldırısı sonrasına kadar beklemeyin.
  • Emin değilseniz veya zamanınız yoksa yardım isteyin. Sophos gibi şirketler her ikisini de sağlıyor XDR (genişletilmiş algılama ve yanıt) ve MDR (yönetilen tespit ve müdahale), kontrol panelinizde sorun belirtilerinin ortaya çıkmasını beklemenin ötesine geçmenize yardımcı olabilir. Başka birinden yardım istemek, özellikle de alternatifin asla kendi başınıza yetişmek için zaman bulamamak olduğu durumlarda, kaçış değildir.

Zaman Damgası:

Den fazla Çıplak Güvenlik