تهيمن أخبار الأمن السيبراني ، في أوروبا على الأقل ، حاليًا على قصص حول "برنامج الفدية VMWare ESXi" الذي يقوم بجولات ، حرفيًا و (بمعنى التشفير على الأقل) مجازيًا.

أطلق CERT-FR ، فريق الاستجابة للطوارئ الحاسوبية التابع للحكومة الفرنسية ، ما تحول بسرعة إلى ذعر صغير في نهاية الأسبوع الماضي ، مع نشرة بعنوان ببساطة: Campagne d'exploitation d'une vulnérabilité المؤثرة VMware ESXi (هجوم إلكتروني يستغل ثغرة أمنية في برنامج VMWare ESXi).

على الرغم من أن العنوان يركز بشكل مباشر على الخطر عالي المستوى ، أي أن أي ثغرة أمنية يمكن استغلالها عن بُعد تمنح المهاجمين عادةً طريقًا إلى شبكتك للقيام بشيء ما ، أو ربما حتى أي شيء يحلو لهم ...

... السطر الأول من التقرير يعطي الأخبار الكئيبة أن شيء المحتالون في هذه الحالة هو ما يدعوه الفرنسيون فدية.

ربما لا تحتاج إلى معرفة ذلك LOGICIEL هي الكلمة الفرنسية لكلمة "برمجيات" لتخمين أن الكلمة مشتقة رانكو- جاء إلى كل من الفرنسية الحديثة (فدية) و الإنجليزية (فدية) من الكلمة الفرنسية القديمة رنسون، وبالتالي فإن الكلمة تترجم مباشرة إلى اللغة الإنجليزية باسم الفدية.

مرة أخرى في العصور الوسطى ، كان أحد المخاطر المهنية للملوك في وقت الحرب هو الاستيلاء على العدو والاحتجاز لمدة رنسون، عادة بموجب شروط عقابية حسمت النزاع بشكل فعال لصالح الخاطفين.

في هذه الأيام ، بالطبع ، يتم "الاستيلاء" على بياناتك - على الرغم من ذلك ، لا يحتاج المحتالون في الواقع إلى تحمل مشكلة حملها والاحتفاظ بها في سجن آمن على جانبهم من الحدود أثناء ابتزاز لك.

يمكنهم ببساطة تشفيرها "في حالة الراحة" ، وعرض منحك مفتاح decrpytion مقابل عقابهم رنسون.

ومن المفارقات ، أن ينتهي بك الأمر بالعمل كسجان خاص بك ، حيث يحتاج المحتالون إلى الاحتفاظ ببضعة بايتات سرية فقط (32 بايت ، في هذه الحالة) للحفاظ على بياناتك مغلقة في ملكية تقنية المعلومات الخاصة بك طالما يحلو لهم.

أخبار جيدة وأخرى سيئة

إليك الأخبار الجيدة: يبدو أن الاندفاع الحالي للهجمات هو من عمل عصابة من مجرمي الإنترنت الذين يعتمدون على ثغرتين محددتين من ثغرات VMWare ESXi تم توثيقهما بواسطة VMware وتم تصحيحهما منذ حوالي عامين.

بعبارة أخرى ، يتوقع معظم مسؤولي النظام أن يكونوا متقدمين على هؤلاء المهاجمين منذ أوائل عام 2021 على أبعد تقدير ، لذا فإن هذا بالتأكيد ليس موقفًا في يوم الصفر.

ها هي الأخبار السيئة: إذا لم تقم بتطبيق التصحيحات المطلوبة في الفترة الممتدة منذ ظهورها ، فأنت لست فقط عرضة لخطر هجوم الفدية المحدد هذا ، ولكن أيضًا معرض لخطر الجرائم الإلكترونية من أي نوع تقريبًا - سرقة البيانات ، والتشفير ، وتسجيل لوحة المفاتيح ، وقاعدة البيانات يتبادر إلى الذهن على الفور التسمم والبرامج الضارة في نقاط البيع وإرسال البريد العشوائي.

إليك المزيد من الأخبار السيئة: فيروسات الفدية المستخدمة في هذا الهجوم ، والتي سترى يشار إليها بشكل مختلف باسم ESXi انتزاع الفدية و ESXiArgs انتزاع الفدية، يبدو أنه زوج من ملفات البرامج الضارة للأغراض العامة ، أحدهما عبارة عن نص برمجي ، والآخر برنامج Linux (يُعرف أيضًا باسم ثنائي or تنفيذ الملف).

بعبارة أخرى ، على الرغم من أنك تحتاج تمامًا إلى التصحيح ضد أخطاء VMWare القديمة هذه إذا لم تكن قد قمت بذلك بالفعل ، فلا يوجد شيء حول هذه البرامج الضارة التي تمنعها بشكل لا ينفصم من الهجوم فقط عبر ثغرات VMWare ، أو لمهاجمة ملفات البيانات المتعلقة بـ VMWare فقط.

في الواقع ، سنشير فقط إلى برنامج الفدية بالاسم أرغس في هذه المقالة ، لتجنب إعطاء الانطباع بأنه إما ناتج عن أنظمة وملفات VMWare ESXi أو لا يمكن استخدامه إلا ضدها.

كيف يعمل

وفقًا لـ CERT-FR. نقطتا الضعف التي تحتاج إلى البحث عنها على الفور هما:

• CVE-2021-21974 من VMSA-2021-0002. ثغرة في ESXi OpenSLP تجاوز الكومة. قد يتمكن ممثل ضار مقيم داخل نفس مقطع الشبكة مثل ESXi الذي لديه حق الوصول إلى المنفذ 427 من تشغيل [a] مشكلة تجاوز سعة الذاكرة المؤقتة في [] خدمة OpenSLP مما يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد.
• CVE-2020-3992 من VMSA-2020-0023. ثغرة أمنية في تنفيذ التعليمات البرمجية عن بُعد ESXi OpenSLP. قد يتمكن الفاعل الخبيث المقيم في شبكة الإدارة والذي لديه حق الوصول إلى المنفذ 427 على جهاز ESXi من تشغيل الاستخدام بدون استخدام في خدمة OpenSLP مما يؤدي إلى تنفيذ التعليمات البرمجية عن بُعد.

في كلتا الحالتين ، كانت نصيحة VMWare الرسمية هي التصحيح إذا كان ذلك ممكنًا ، أو إذا كنت بحاجة إلى تأجيل التصحيح لفترة من الوقت ، فقم بتعطيل SLP المتأثر (بروتوكول موقع الخدمة) الخدمات.

يحتوي برنامج VMWare على صفحة بها إرشادات طويلة الأمد للعمل حولها مشاكل أمان SLP، بما في ذلك رمز البرنامج النصي لإيقاف تشغيل SLP مؤقتًا ، وإعادة تشغيله مرة أخرى بمجرد التصحيح.

الضرر في هذا الهجوم

في هذا أرغس الهجوم ، الرأس الحربي الذي يطلقه المحتالون على ما يبدو ، بمجرد وصولهم إلى نظام ESXi البيئي ، يتضمن تسلسل الأوامر أدناه.

لقد اخترنا العناصر الحاسمة للإبقاء على هذا الوصف قصيرًا:

• اقتل تشغيل الأجهزة الافتراضية. المحتالون لا يفعلون هذا بأمان ، ولكن ببساطة بإرسال كل شيء vmx عملية أ SIGKILL (kill -9) لتعطل البرنامج في أسرع وقت ممكن. نحن نفترض أن هذه طريقة سريعة وقذرة لضمان إلغاء قفل جميع ملفات VMWare التي يريدون تدافعها ، وبالتالي يمكن إعادة فتحها في وضع القراءة / الكتابة.
• تصدير قائمة وحدات تخزين نظام ملفات ESXi. يستخدم المحتالون ملف esxcli storage filesystem list الأمر للحصول على قائمة بأحجام ESXi لمتابعة.
• ابحث عن ملفات VMWare المهمة لكل وحدة تخزين. يستخدم المحتالون ملف find الأمر على كل وحدة تخزين في ملف /vmfs/volumes/ دليل لتحديد موقع الملفات من قائمة الامتدادات هذه: .vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram و .vmem.
• قم باستدعاء أداة تخليط ملف للأغراض العامة لكل ملف يتم العثور عليه. برنامج يسمى encrypt، التي تم تحميلها من قبل المحتالين ، تستخدم لخلط كل ملف على حدة في عملية منفصلة. لذلك تحدث عمليات التشفير بالتوازي ، في الخلفية ، بدلاً من النص الذي ينتظر كل ملف على حدة.

بمجرد بدء مهام تشفير الخلفية ، يقوم البرنامج النصي للبرامج الضارة بتغيير بعض ملفات النظام للتأكد من أنك تعرف ما يجب فعله بعد ذلك.

ليس لدينا نسخ خاصة بنا من أي ملاحظات فدية فعلية استخدمها المحتالون ، ولكن يمكننا إخبارك بمكان البحث عنها إذا لم ترها بنفسك ، لأن النص:

• يستبدل الخاص بك /etc/motd ملف مع مذكرة فدية. الاسم motd هو اختصار ل رسالة اليوم، ويتم نقل نسختك الأصلية إلى /etc/motd1، لذلك يمكنك استخدام وجود ملف بهذا الاسم كمؤشر خام على التسوية (IoC).
• يستبدل أي ملف index.html الملفات في /usr/lib/vmware شجرة مع مذكرة فدية. مرة أخرى ، تمت إعادة تسمية الملفات الأصلية ، هذه المرة إلى index1.html. ملفات تسمى index.html هي الصفحات الرئيسية لأي بوابات ويب لبرنامج VMWare قد تفتحها في متصفحك.

مما سمعناه ، فإن الفدية المطلوبة كانت بعملة البيتكوين ، ولكنها تختلف في كل من المبلغ المحدد ومعرف المحفظة الذي سيتم الدفع بهما ، ربما لتجنب إنشاء واضح أنماط الدفع في BTC blockchain.

ومع ذلك ، يبدو أن دفع الابتزاز عادةً ما يتم تعيينه على حوالي 2 BTC ، حاليًا أقل بقليل من 50,000 دولار أمريكي.

اعرف المزيد: أنماط الدفع في البلوكشين

التشفير في سطور

• encrypt البرنامج ، بشكل فعال ، أداة مستقلة ، ملف واحد في كل مرة.

ومع ذلك ، فبالنظر إلى كيفية عمله ، لا يوجد غرض مشروع يمكن تصوره لهذا الملف.

من المفترض أن توفر الوقت أثناء التشفير ، نظرًا لأن صور الجهاز الظاهري عادةً ما تكون عدة غيغابايت ، أو حتى تيرابايت ، في الحجم ، يمكن إعطاء البرنامج معلمات تخبره بتخليط بعض أجزاء الملف ، مع ترك الباقي بمفرده.

بشكل فضفاض ، تقوم البرامج الضارة بعملها القذر بوظيفة تسمى encrypt_simple() (في الواقع ، ليس الأمر بسيطًا على الإطلاق ، لأنه يشفر بطريقة معقدة لا يستخدمها أي برنامج أمان حقيقي على الإطلاق) ، وهو ما يسير على هذا النحو.

قيم FILENAME, PEMFILE, M و N أدناه يمكن تحديدها في وقت التشغيل على سطر الأوامر.

لاحظ أن البرنامج الضار يحتوي على تطبيقه الخاص لخوارزمية تشفير Sosemanuk ، على الرغم من أنه يعتمد على OpenSSL للأرقام العشوائية التي يستخدمها ، ومعالجة المفتاح العام RSA فإنه يفعل:

1. توليد PUBKEY، وهو مفتاح عمومي RSA ، من خلال القراءة في PEMFILE.
2. توليد RNDKEY، مفتاح تشفير متماثل 32 بايت عشوائي.
3. اذهب إلى بداية FILENAME
4. قراءة في M ميغا بايت من FILENAME.
5. تدافع تلك البيانات باستخدام تشفير دفق Sosemanuk مع RNDKEY.
6. الكتابة فوق هذه M ميغابايت في الملف بالبيانات المشفرة.
7. القفز إلى الأمام N ميغابايت في الملف.
8. GOTO 4 إذا كان هناك أي بيانات متبقية للتشويش.
9. القفز إلى نهاية FILENAME.
10. استخدم تشفير المفتاح العام RSA للتشويش RNDKEY، وذلك باستخدام PUBKEY.
11. قم بإلحاق مفتاح فك التشفير المشفر بـ FILENAME.

في ملف البرنامج النصي الذي نظرنا إليه ، حيث قام المهاجمون باستدعاء ملف encrypt البرنامج ، يبدو أنهم اختاروا M ليكون 1 ميغا بايت ، و N 99 ميغا بايت ، بحيث يتم خلط 1٪ فقط من أي ملفات يزيد حجمها عن 100 ميغا بايت.

هذا يعني أنها ستلحق الضرر بها بسرعة ، ولكن من شبه المؤكد أنها تترك الأجهزة الافتراضية الخاصة بك غير صالحة للاستعمال ، ومن المحتمل جدًا أنها غير قابلة للاسترداد.

يؤدي استبدال أول 1 ميغا بايت إلى جعل الصورة غير قابلة للتمهيد ، وهو أمر سيئ بدرجة كافية ، ويمثل خلط 1 ٪ من بقية الصورة ، مع توزيع الضرر في جميع أنحاء الملف ، قدرًا كبيرًا من الفساد.

قد تترك هذه الدرجة من الفساد بعض البيانات الأصلية التي يمكنك استخراجها من أنقاض الملف ، ولكن ربما ليس كثيرًا ، لذلك لا ننصح بالاعتماد على حقيقة أن 88٪ من الملف "لا يزال على ما يرام" كأي نوع من أنواع احتياطيًا ، لأن أي بيانات تسترجعها بهذه الطريقة يجب اعتبارها حظًا سعيدًا وليس تخطيطًا جيدًا.

إذا احتفظ المحتالون بالمفتاح الخاص PUBKEY سرًا ، هناك فرصة ضئيلة في أن تتمكن من فك تشفيرها RNDKEY، مما يعني أنه لا يمكنك استرداد الأجزاء المشوشة من الملف بنفسك.

وبالتالي فإن طلب رانسومواري.

ماذا ستفعلين.. إذًا؟

بكل بساطة:

• تحقق من أن لديك التصحيحات المطلوبة. حتى إذا كنت "تعرف" أنك فعلت ذلك مرة أخرى عند ظهورهم لأول مرة ، تحقق مرة أخرى للتأكد. غالبًا ما تحتاج فقط إلى ترك حفرة واحدة لمنح المهاجمين رأس جسر للدخول.
• أعد النظر في عمليات النسخ الاحتياطي. تأكد من أن لديك طريقة موثوقة وفعالة لاستعادة البيانات المفقودة في وقت معقول إذا حدثت كارثة ، سواء من رانسوم وير أم لا. لا تنتظر حتى بعد هجوم فدية لتكتشف أنك عالق في معضلة الدفع على أي حال لأنك لم تمارس الاستعادة ولا يمكنك القيام بذلك بكفاءة كافية.
• إذا لم تكن متأكدًا أو لم يكن لديك الوقت ، فاطلب المساعدة. توفر شركات مثل Sophos كلاً من XDR (اكتشاف واستجابة ممتدين) و MDR (اكتشاف واستجابة مُدارين) والتي يمكن أن تساعدك على تجاوز مجرد انتظار ظهور علامات المتاعب على لوحة القيادة الخاصة بك. ليس من قبيل المشاركة طلب المساعدة من شخص آخر ، خاصةً إذا كان البديل هو ببساطة عدم وجود وقت للحاق بمفردك.

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
• المصدر https://nakedsecurity.sophos.com/2023/02/07/using-vmware-worried-about-esxi-ransomware-check-your-patches-now/