خانه » سوء استفاده باج افزارها از آسیب پذیری های VMware ESXi

سوء استفاده باج افزارها از آسیب پذیری های VMware ESXi

توسط Vulnerbyte
104 بازدید
سوء استفاده باج افزارها از آسیب پذیری های VMware ESXi

ما در سال‌های اخیر شاهد افزایش مداوم حملات باج‌ افزارها بوده‌ایم. محیط‌های مجازی سازی به ‌ویژه زیرساخت‌های VMware ESXi نیز دستخوش چنین حملاتی قرار گرفته‌اند. پلتفرم‌های مجازی ‌سازی، کامپوننت اصلی زیرساخت‌های فناوری اطلاعات سازمانی به شمار می‌آیند اما اغلب از پیکربندی‌های نادرست و آسیب ‌پذیری‌های ذاتی رنج می‌برند. از این رو، آن‌ها به یک هدف سودآور و بسیار مؤثر برای مهاجمان سایبری تبدیل شده‌اند.

تحقیقات و بررسی‌های تیم Sygnia نشان می‌دهد که این بُردار حمله، اغلب توسط ابزارها و گروه‌های باج افزاری مانند LockBit، HelloKitty، BlackMatter، RedAlert (N13V)، Scattered Spider، Akira، Cactus، BlackCat و Cheerscrypt استفاده می‌شود.

باج افزارها در حمله به محیط‌های مجازی سازی معمولاً از یک الگوی مشابه استفاده می‌کنند. این اقدامات شامل مراحل زیر است:

  • دسترسی اولیه: هکرها با استفاده از تکنیک‌هایی همچون حملات فیشینگ، فایل‌های مخرب و بهره‌برداری از آسیب ‌پذیری‌های شناخته شده در منابع متصل به اینترنت، دسترسی اولیه خود به سازمان را ایجاد می‌کنند.
  • حرکت جانبی و افزایش سطح دسترسی: مهاجمان پس از ایجاد دسترسی اولیه، سطح دسترسی خود را با استفاده از حملات بروت فورس[1]، ربودن [2]RDP، استفاده از اکسپلویت‌هایی مانند ESXiArgs یا روش‌های دیگر، جهت به دست آوردن گواهی‌های اعتبار میزبان‌های ESXiیا vCenter افزایش می‌دهند.
  • اعتبار سنجی دسترسی: مهاجمان پس از اطمینان از امنیت دسترسی اولیه به زیرساخت مجازی سازی، بر روی برقراری ارتباط با آن و استقرار باج افزار متمرکز خواهند شد. چنانچه امکان دسترسی مستقیم به سرور نباشد، مهاجمان از vCenter برای فعال سازی SSH در تمام سرورهای ESXi استفاده می‌کنند. هکرها ممکن است رمزهای عبور سرور را تغییر دهند و یا دستورات را با استفاده از بسته‌های نصب vSphere سفارشی (VIB) از راه دور اجرا کنند.
  • استقرار باج‌ افزار: مهاجمان از دسترسی خود برای اتصال به ESXi استفاده کرده و باج‌ افزار را بر روی میزبان‌های ESXi مستقر و نصب می‌کنند.
  • حذف یا رمزگذاری سیستمهای بک آپ: هکرها ممکن است با حذف یا رمزگذاری سرور پشتیبان گیری (بک آپ) و یا در برخی موارد، تغییر رمزهای عبور، مانع از بازیابی محیط مجازی سازی شوند و در نتیجه فشار بیشتری را بر قربانیان اعمال کنند.
  • استخراج داده: مهاجمان اغلب سایبری سعی دارند با استخراج و انتقال داده به سرورهای خارجی مانند io، Dropbox و یا سرورهای اختصاصی خود، طرح اخاذی مضاعف را پیاده سازی کنند. این امر مهاجمان را قادر می‌سازد نه تنها فایل‌های موجود را رمزگذاری کنند، بلکه داده‌های استخراج ‌شده را به صورت عمومی منتشر نمایند تا صدمات و خسارات بیشتری را به قربانی وارد کنند.
  • اجرای باج افزار: مهاجمان در این مرحله تمام ماشین‌های مجازی را خاموش کرده و باج ‌افزار مورد نظر را به منظور رمزگذاری فولدر ” /vmfs/volumes “ فایل سیستم ESXi، اجرا می‌کنند.
  • استقرار و انتشار باج ‌افزارهای بیشتر: هکرهایی که از قبل به مکانیزم‌های استقرار مانند SCCM یا اکتیو دایرکتوری دست یافته‌اند، ممکن است باج ‌افزارهای بیشتری را بر روی سرور و ایستگاه‌های کاری غیرمَجازی توزیع کنند و تأثیر حمله را فراتر از حوزه مجازی ‌سازی تقویت نمایند.

شرکت امنیت سایبری Rapid7 نسبت به چنین حملاتی از اوایل مارس 2024 هشدار داد. مهاجمان با سوء استفاده از تبلیغات مخرب در موتورهای جستجو سعی داشتند تا نصب ‌کننده‌‌های تروجانیزه شده برای WinSCP و PuTTY را از طریق دامنه‌‌های جعلی به قربانیان تحویل داده و در نهایت باج ‌افزار را مستقر کنند.

این نصب ‌کننده‌‌های جعلی به‌ عنوان مجرایی برای نصب toolkit پس از بهره‌ برداری Sliver عمل می‌‌کنند و سپس پیلودهای بیشتری مانند Beaconهای Cobalt Strike را به منظور استقرار باج ‌افزار مستقر خواهند کرد.

محیط‌های مجازی ‌سازی در عصر دیجیتال مدرن، برای زیرساخت‌های فناوری اطلاعات سازمانی حیاتی هستند، اما تهدیدات باج ‌افزاری از این محیط‌ها و منابع غافل نخواهند بود. غالبا به منظور کاهش خطرات ناشی از چنین تهدیداتی، به سازمان‌ها توصیه می‌شود که از سیستم نظارت (مانیتورینگ) و کنترل، ثبت لاگ، دریافت به موقع وصله‌های امنیتی، مکانیزم‌های پشتیبان گیری (بک آپ) و احراز هویت قوی استفاده کنند. توجه به Hardening یا مستحکم سازی زیرساخت و سرورها و پیاده سازی محدودیت‌های سختگیرانه شبکه و تفکیک سیستم‌های حیاتی برای جلوگیری از حرکت جانبی نیز بسیار حائز اهمیت می‌باشد.

کسب‌وکارها می‌توانند علیرغم چشم ‌انداز در حال تحول تهدیدات سایبری، با اتخاذ استراتژی‌های آگاهانه و بهترین شیوه‌ها، دفاع خود را در برابر باج ‌افزار و سایر تهدیدات سایبری تقویت کنند و از یکپارچگی و انعطاف‌پذیری زیرساخت‌های دیجیتال اطمینان حاصل نمایند.

 

[1] brute-force

[2] Remote Desktop Protocol

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید