آیا ماشین های مجازی طلای جدید مجرمان اینترنتی است؟


معرفی

فناوری مجازی سازی سالهاست که سنگ بنای فناوری اطلاعات در سازمان محسوب می شود. این انقلابی ایجاد کرده است که سازمانها می توانند سیستمهای IT را با یک پالس گسترش دهند و سپس به آنها اجازه می دهد به جای سرمایه گذاری در سخت افزارهای فلزی لخت ، از چابکی بیشتری برخوردار شوند. برای چشم غیر آموزش دیده خارجی ، ممکن است به نظر برسد که ماشین های مختلفی در شبکه وجود دارد ، در حالی که در واقع همه ماشین های “فردی” توسط یک سرور hypervisor کنترل می شوند. امروزه ، مجازی سازی آنقدر نقش بزرگی دارد که نه تنها برای اجرای سرورها ، بلکه از برنامه های مجازی گرفته تا دسک تاپ های مصرف کننده مجازی ، از آن استفاده می شود.

این چیزی است که مجرمان سایبری نیز متوجه آن می شوند و ما شاهد افزایش علاقه به نظارتگران هستیم. پس از همه ، چرا هنگامی که شما می توانید hypervisor را هدف قرار دهید و همه دستگاه ها را همزمان کنترل کنید ، به یک ماشین مجازی حمله کنید؟

در ماه های اخیر ، چندین CVE با تأثیر بالا برای نرم افزار مجازی سازی منتشر شده است که اجازه اجرای کد از راه دور (RCE) را می دهد. کارگزاران دسترسی اولیه سرورهای VMware vCenter را که به خطر می افتد به صورت آنلاین و همچنین گروه های باج افزار در حال توسعه باینری های باج افزار خاص برای رمزگذاری سرورهای ESXi هستند.

VMware CVE-2021-21985 و CVE-2021-21986

در 25شما از ماه مه ، VMware یک آسیب پذیری را تحت تأثیر قرار داده است که بر سرورهای VMware vCenter تأثیرگذار است و اجازه اجرای کد از راه دور بر روی سرورهای vCenter قابل دسترسی به اینترنت ، نسخه های 6.5،6.7 و 7.0 را می دهد. VMware vCenter ابزاری مدیریتی است که برای مدیریت ماشین های مجازی و سرورهای ESXi استفاده می شود.

CVE-2021-21985 یک آسیب پذیری اجرای کد از راه دور (RCE) در vSphere Client از طریق Virtual SAN Status Checker (vSAN) است. این افزونه به طور پیش فرض فعال است. ترکیبی از RCE و درج افزونه پیش فرض منجر به این شد که این به عنوان یک نقص مهم با نمره CVSSv3 9.8 ارزیابی شود.

یک مهاجم برای استفاده از این آسیب پذیری باید از طریق پورت TCP 443 به vCenter دسترسی داشته باشد. فرقی نمی کند vCenter از راه دور در معرض دید باشد یا اینکه حمله کننده چه دسترسی داخلی دارد.

همان بردار عملیاتی برای CVE-2021-21986 قابل استفاده است ، که مشکلی در مکانیسم تأیید اعتبار در چندین افزونه vCenter Server است. این به مهاجم اجازه می دهد توابع پیوست را بدون احراز هویت انجام دهد. این منجر به ارزیابی CVE به عنوان “شدت متوسط” می شود ، با نمره CVSSv3 6.5.

هنگام نوشتن این وبلاگ ، یک Proof-of-Concept کشف شد که وجود آسیب پذیری را آزمایش می کند. کد راه دور را اجرا نمی کند. پلاگین Nmap را می توانید از این مکان بارگیری کنید: https://github.com/alt3kx/CVE-2021-21985_PoC.

جستجو با بر شدان موتور جستجو، آن را به پورت TCP 443 محدود می کنیم ، نزدیک به 82 را مشاهده می کنیم،000 اینترنت در دسترس ESXi سرورها در معرض هستند. نسخه هایی را که تحت تأثیر این آسیب پذیری ها هستند بیشتر کنید ، تقریبا 55،000 علنا در دسترس ESXi سرورها به طور بالقوه v هستنددر برابر CVE-2021-21985 و CVE-2021-21986 آسیب پذیر است، دسترسی از راه دور به آنها و که آنها را می سازد کاندیداهای احتمالی برای حملات باج افزار، همانطور که در بندهای بعدی خواهیم خواند.

بازیگران Ransomware که یک محیط مجازی را دنبال می کنند

گروه های بازخرید همیشه در تلاشند تا راه هایی برای ضربه زدن به قربانیان خود در جایی که به آنها آسیب می رساند ، بیابند. بنابراین منطقی است که آنها با محیط حمله مجازی سازی و ماشینهای بومی یونیکس / لینوکس سازگار شوند. در گذشته ، گروه های باج افزار به سرعت از CVE های قبلی که بر VMware تأثیر می گذارند سوing استفاده می کنند. اما علاوه بر CVE های آشکار شده ، گروه های باج افزار همچنین باینری های خود را به طور خاص برای رمزگذاری ماشین های مجازی و محیط مدیریت آنها تطبیق داده اند. در زیر برخی از گروه های بازخرید مشاهده شده است.

باج افزار DarkSide

شکل 1. عکس از گروه باج افزار DarkSide ، که صریحاً رمزنگار مبتنی بر Linux و پشتیبانی از سیستم های ESXi و NAS را ذکر می کند

McAfee Advanced Threat Research (ATR) باینری لینوکس DarkSide را در وبلاگ اخیر ما تجزیه و تحلیل می کند و می توانیم تأیید کنیم که روال خاصی برای ماشین های مجازی دارد.

شکل 2. روال کد DarkSide VMware

از فایل پیکربندی نسخه DarkSide Linux مشخص است که این نوع فقط برای رمزگذاری ماشینهای مجازی میزبانی شده در یک سرور ESXi در نظر گرفته شده است. این برنامه به جستجوی پرونده های دیسک ماشین مجازی ، پرونده های حافظه ماشین مجازی (vmem) ، مبادله ، ثبت پرونده ها و موارد دیگر می پردازد. – تمام پرونده های مورد نیاز برای راه اندازی ماشین مجازی VMware.

نمایش Darkside برای رمزگذاری سرور ESXi: https://youtu.be/SMWIckvLMoE

Babuk Ransomware

بابوک در یک مجمع زیرزمینی اعلام کرد که در حال توسعه یک باینری بین پلتفرمی با هدف سیستم های Linux / UNIX و ESXi یا VMware است:

شکل 3. باج افزار Babuk که ادعا می کند یک لینوکس باج افزار مبتنی بر Linux ساخته است که قادر به رمزگذاری سرورهای ESXi است.

این بدافزار به زبان برنامه نویسی منبع باز Golang نوشته شده است ، به احتمال زیاد به این دلیل که به توسعه دهندگان اجازه می دهد یک پایگاه کد واحد داشته باشند که می تواند در تمام سیستم عامل های اصلی وارد شود. این بدان معناست که به لطف اتصال استاتیک ، کدی که در Golang روی سیستم لینوکس نوشته شده است می تواند در سیستم Windows یا Mac اجرا شود. این یک مزیت بزرگ برای باندهای باج افزار است که می خواهند یک زیرساخت متشکل از معماری های مختلف سیستم را رمزگذاری کنند.

بدافزار پس از راه اندازی در سرور ESXi ، همه فایلهای سیستم را رمزگذاری می کند:

همانطور که تصور کردیم بدافزار برای هدف قرار دادن محیط های ESXi طراحی شده است و وقتی تیم بابوک رمزگشای را به d_esxi.out. متأسفانه ، رمزگشای با خطاهایی تولید شده است که باعث فساد در پرونده های قربانی می شود:

به طور کلی ، رمز گشایی بد است زیرا فقط پسوند “.babyk” را بررسی می کند ، که از تمام پرونده هایی که قربانی تغییر نام داده است برای بازیابی آنها عبور می کند. همچنین رمزگشایی بررسی می کند که آیا پرونده بیش از 32 بایت است ، زیرا 32 بایت آخر کلیدی است که بعداً با سایر مقادیر سخت رمزگذاری شده محاسبه می شود تا کلید نهایی بدست آید. این یک طراحی بد است ، زیرا این 32 بایت می تواند به جای کلید زباله باشد ، زیرا مشتری می تواند کارها را انجام دهد و غیره. با بررسی مسیرهایی که در بدافزار بررسی شده و در عوض تجزیه و تحلیل همه موارد ، به طور موثری کار نمی کند. خطای دیگری که متوجه آن شدیم این بود که رمزگشایی در تلاش بود نام یادداشت باج را حذف کند ، یعنی نه همان بدافزار در هر پوشه ای ایجاد می کند. این منطقی نیست مگر اینکه ، احتمالاً ، توسعه دهندگان / اپراتورهای Babuk رمزگشایی را ارائه دهند که برای نسخه یا نمونه دیگری کار می کند.

مشکلات رمزگشای بابوک قربانیان را در موقعیت های وحشتناک با داده های دائمی خراب قرار داده است. احتمال بدست آوردن رمزگشای معیوب قربانیان را متقاعد به پرداخت نمی کند و این ممکن است یکی از دلایل اصلی باشد که بابوک اعلام کرد رمزگذاری داده ها را متوقف می کند و از این پس فقط استخراج و باج گیری می کند.

کارگزاران دسترسی اولیه که ماشین های VMware vCenter را ارائه می دهند

نه تنها گروه های باج افزار به سیستم های مجازی علاقه مند هستند. چندین کارگزار دسترسی اولیه همچنین دسترسی به سرورهای آسیب دیده vCenter / ESXi را در مجامع زیرزمینی جرایم اینترنتی معامله می کنند. تاریخ و زمان پیشنهاد ویژه زیر با افشای CVE-2021-21985 همپوشانی دارد ، اما McAfee ATR مشخص نکرده است که آیا از این CVE خاص برای دسترسی به سرورهای ESXi استفاده شده است یا خیر.

شکل 4. Threat Actor ، فروش دسترسی به هزاران سرور vCenter / ESXi

شکل 5. تهدید کننده ارائه دهنده سرورهای VMware ESXi به خطر افتاده است

نکات مربوط به وصله و ردیابی

VMware از کاربرانی که با VMware vCenter و VMware Cloud Foundation تحت تأثیر CVE-2021-21985 و CVE-2021-21986 کار می کنند ، می خواهد فوراً رفع مشکل خود را اعمال کنند. طبق VMware ، یک بازیگر مخرب با دسترسی شبکه به پورت 443 می تواند از این مشکل برای اجرای دستورات با امتیازات نامحدود در سیستم عامل اصلی که میزبان سرور vCenter است استفاده کند. آسیب پذیری های کشف شده نمره اساسی CVSS 9.8 دارند.

با این حال ، ما می فهمیم که زیرساخت های VMware اغلب روی سیستم های مهم تجاری نصب می شوند ، بنابراین هر نوع فعالیت اصلاح معمولاً تأثیر زیادی روی عملیات IT دارد. بنابراین ، تفاوت بین تشخیص و اصلاح آسیب پذیری معمولاً زیاد است. از آنجا که سیستم عامل های VMware یک سیستم بسته هستند ، توانایی نصب راه حل های حفاظت از بار / تشخیص را ندارند. بنابراین ، اقدامات حفاظتی باید براساس استاندارد بهداشت سایبری / اقدامات کاهش خطر صورت گیرد و در صورت امکان به ترتیب زیر اعمال شود.

  1. موجودی دقیق دارایی های vCenter و نسخه های نرم افزاری مربوطه را ارائه دهید.
  2. با اعمال سیاست های دقیق کنترل دسترسی شبکه ، از صفحه مدیریت زیرساخت vCenter محافظت کنید تا فقط از طریق شبکه های مدیریت اختصاصی امکان دسترسی داشته باشید.
  3. دسترسی به اینترنت به زیرساخت vCenter / VMware را غیرفعال کنید.
  4. وصله های منتشر شده VMware را اعمال کنید.
  5. پلت فرم امنیت شبکه McAfee (NSP) مجموعه های امضا را به CVE-2021-21985 و CVE-2021-21986 ارائه می دهد.

نتیجه

مجازی سازی و فناوری های مرتبط در زیرساخت های امروزی کلیدی هستند. با انتشار آسیب پذیری های اخیراً کشف شده و درک اهمیت آنها ، شرکت کنندگان در این تهدید تمرکز خود را تغییر می دهند. شواهد را می توان در مجامع زیرزمینی مشاهده کرد که در آن شرکتهای وابسته با آگاهی از فن آوری های خاص مجازی برای ایجاد یک باج افزار سفارشی طراحی شده برای فلج کردن این فناوری ها اقدام به جذب پنتستر می کنند. Remote Desktop Access بردار دسترسی شماره یک در بسیاری از موارد باج افزار است و پس از آن دستگاه های پایانی که آخرین به روزرسانی های امنیتی را ندارند ، باعث آسیب پذیری بهره برداری می شوند. با استفاده از جدیدترین VMware CVE که در این وبلاگ ذکر شده است ، ما از شما می خواهیم که گام های درستی را برای ارائه نه تنها سیستم های در معرض اینترنت ، بلکه همچنین سیستم های داخلی برای به حداقل رساندن خطر از دست دادن ماشین های مجازی ارزشمند سازمان خود یا طلا برای مجرمان سایبری ، بردارید. .

با تشکر ویژه از تیبو سرت ، مو کشمن ، روی آرناب و کریستین بیک برای کمک هایشان.



Author: morteza

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *