باج افزارهای محیط ESXi یکی از تهدیدات جدید و پیچیدهای هستند که سرورهای مجازیسازی که ازVMware ESXi استفاده میکنند را مورد هدف قرار میدهند. مهاجمان در این قبیل حملات از باج افزار برای رمزگذاری دادههای محیطهای مجازی استفاده میکنند و این تهدید به دلیل عملکرد خاص سیستمهای مجازی، ممکن است برای شناسایی و مقابله بسیار پیچیده و دشوار باشد.
حملات باج افزاری با هدف نفوذ به سرورهای VMware ESXi در سال ۲۰۲۴ بطور چشمگیری افزایش یافته و به سطح هشدار دهندهای رسیده است. میانگین تقاضای باج از سوی گروههای باج افزار در این سال به ۵ میلیون دلار افزایش یافته است.
طبق گفته Shodan، تقریبا ۸ هزار میزبان ESXi متصل به اینترنت وجود دارد. اکثر انواع باج افزارهایی که درحال حاضر به سرورهای ESXi حمله میکنند، نوعی از باج افزار بدنام Babuk هستند که به منظور فرار از شناسایی توسط مکانیزمهای امنیتی تولید شدهاند.
علاوه بر این، مهاجمان در برخی موارد با فروش دسترسی اولیه خود به سایر گروههای باج افزار، از این طریق برای خود کسب درآمد میکنند.
معماری ESXi
معماری VMware ESXi بهعنوان یک هایپروایزر نوع ۱ برای مجازیسازی در محیطهای دیتاسنتر و سرورهای فیزیکی طراحی شده است. این معماری بهطور مستقیم بر روی سختافزار سرور نصب میشود و قابلیت ایجاد و مدیریت ماشینهای مجازی را فراهم میآورد.
برای درک بهتر اینکه چگونه یک مهاجم میتواند کنترل میزبان ESXi را به دست آورد، شناخت معماری محیطهای مجازی ضروری است. این موضوع به شناسایی آسیب پذیریها و نقاط ورودی بالقوه کمک میکند. مهاجمان با تکیه بر این شناخت میتوانند سرورهای ESXi را مورد نفوذ قرار دهند و میزان نفوذ خود در شبکه و تاثیر حمله خود را به حداکثر برسانند.

به عنوان مثال، سرورvCenter یک ابزار مدیریت متمرکز است که به شما امکان میدهد تا چندین سرور ESXi را از یک نقطه مرکزی مدیریت و نظارت کنید. این ابزار به ویژه در محیطهای بزرگ و پیچیده مجازیسازی که تعداد زیادی سرور ESXi و ماشینهای مجازی وجود دارد، بسیار مفید است.
سرور vCenter، میزبان ESXi را توسط اکانت پیش فرض vpxuser مدیریت میکند. اکانت vpxuser با داشتن مجوزهای root مسئول عملکردهای مدیریتی در ماشینهای مجازی مستقر در میزبان ESXi است.
vCenter Server برای مدیریت و ارتباط با سرورهای ESXi از رمزهای عبور رمزگذاری شده استفاده میکند. این رمزهای عبور بهطور ایمن در یک پایگاه داده ذخیره میشوند تا بتوانند بهطور خودکار و از راه دور به سرورهای ESXi متصل شوند و عملیات مدیریتی انجام دهند.
یک کلید مخفی ذخیره شده در سرور vCenter ، رمزگشایی رمز عبور را تسهیل کرده و در نتیجه کنترل کامل روی هر یک از میزبانهای ESXi را تسهیل میسازد. پس از فرآیند رمزگشایی، اکانت vpxuser میتواند برای عملیات مختلف از جمله گرفتن مجوزهای root به منظور تغییر پیکربندیها، تغییر رمز عبور سایر اکانتها، لاگین به سیستم SSH و اجرای باج افزار مورد استفاده قرار گیرد.
رمزگذاری در ESXi
گروههای باج افزار قصد دارند با دشوارتر کردن بازیابی فایلها، سازمانها را ملزم به پرداخت باج کنند. این امر در حملات ESXi با هدف قرار دادن چهار نوع فایل که برای تداوم عملیات ضروری هستند، محقق میشود:
- فایلهای VMDK: یک فایل دیسک مجازی است که محتویات درایو هارد ماشین مجازی را ذخیره میکند. رمزگذاری این فایلها، ماشین مجازی را کاملا غیرقابل اجرا میکند.
- فایلهای VMEM: فایل صفحهبندی یا paging file هر ماشین مجازی. رمزگذاری یا حذف فایلهای VMEM میتواند منجر به از دست رفتن دادهها و مسائلی هنگام تلاش برای از سرگیری ماشینهای مجازی تعلق شده (suspend) شود.
- فایلهایVSWP : یا فایلهای VM Swap در محیط VMware vSphere و مجازیسازی، فایلهای موقتی هستند که برای مدیریت حافظه ماشینهای مجازی استفاده میشوند. این فایلها زمانی ایجاد میشوند که ماشین مجازی روشن است و به صورت موقت فضای حافظهای را که ماشین نیاز دارد ولی بهطور مستقیم از RAM موجود در هاست ESXi قابل تأمین نیست، جبران میکنند. رمزگذاری این فایلهای Swap می تواند منجر به کرش کردن ماشینهای مجازی شود.
- فایلهای VMSN: فایل VMSN یکی از فایلهای مرتبط با ماشینهای مجازی در محیط VMware vSphere است که اطلاعات مربوط به Snapshot یا عکسلحظهای ماشین مجازی را به منظور بک آپ گیری ذخیره میکند. این فایل نقش مهمی در مدیریت و بازیابی وضعیت یک ماشین مجازی دارد. رمزگذاری این فایلها، فرآیند بازیابی را پیچیده میکند.
ازآنجایی که فایلهای درگیر در حملات باج افزاری به سرورهای ESXi ، حجم زیادی دارند، مهاجمان معمولا از رویکرد رمزگذاری هیبریدی یا ترکیبی استفاده میکنند. آنها در واقع سرعت رمزگذاری متقارن را با امنیت رمزگذاری نامتقارن ترکیب میکنند.
- رمزگذاری متقارن (Symmetric Encryption): یکی از روشهای رمزگذاری است که در آن از یک کلید مشترک برای رمزگذاری و رمزگشایی دادهها استفاده میشود. این متد به دلیل سادگی و سرعت بالایی که دارد یکی از قدیمیترین و پرکاربردترین روشهای رمزگذاری است. مهاجمان میتوانند با استفاده از این متد به سرعت فایلها را رمزگذاری کرده و در نتیجه زمان لازم برای شناسایی و خنثی کردن تهدیدات توسط سیستمهای امنیتی را کاهش دهند.
- رمزگذاری نامتقارن (Asymmetric encryption): روش رمزگذاری نامتقارن از سرعت کمتری برخوردار است زیرا شامل یک کلید عمومی و یک کلید خصوصی میباشد و به عملیات پیچیده ریاضی نیاز دارند اما در مقابل از امنیت بالایی برخوردار است.
از این رو در باج افزار، رمزگذاری نامتقارن در درجه اول برای ایمن سازی کلیدهای مورد استفاده در رمزگذاری متقارن به جای خود دادهها استفاده میشود. این روش، تضمین میکند که کلیدهای متقارن رمزگذاری شده تنها توسط شخصی که کلید خصوصی مربوطه را در اختیار دارد، یعنی مهاجم میتواند رمزگشایی شود. انجام این کار از رمزگشایی آسان جلوگیری میکند و یک لایه امنیتی اضافی برای مهاجم فراهم میآورد.
۴ استراتژی کلیدی برای کاهش ریسک
با توجه به اینکه vCenter بهعنوان هسته اصلی مدیریت زیرساخت مجازی عمل میکند، آسیب پذیری آن میتواند منجر به نفوذ به کل زیرساخت شود. از این رو، برای محافظت از vCenter Server در مقابل تهدیدات باج افزاری و افزایش امنیت محیط VMware ESXi، اقدامات متعددی باید صورت پذیرد، از جمله:
- به روزرسانی منظم VCSA: همیشه از آخرین نسخه اپلیکیشن سرور VMware vCenter یا (VCSA) استفاده کنید و آن را به روز نگه دارید. انتقال از vCenter مبتنی بر ویندوز به VCSA میتواند امنیت را بهبود بخشد، زیرا به طور خاص برای مدیریت vSphere طراحی شده است.
- اجرای مکانیزم MFA و حذف کاربران پیش فرض: استفاده از مکانیزم احراز هویت چند عاملی (MFA) در کنار به کارگیری رمز عبور قوی و پیچیده، توصیه میشود. علاوه بر این، اکانتهای پیش فرض را حذف کنید.
- استقرار ابزارهای شناسایی موثر: از ابزارهای تشخیص و شناسایی قوی در vCenter خود استفاده کنید. مکانیزمهایی مانند EDR، XDRیا سایر ابزارهای مشابه میتوانند به نظارت و هشدار کمک کرده و دستیابی موفق مهاجمان را دشوارتر کنند. به عنوان مثال، تنظیم خط مشیهای نظارتی که به طور خاص تلاشهای دسترسی غیر معمول به اکانت vpxuser را ردیابی میکند، پیشنهاد میشود.
- تقسیم بندی شبکه: شبکه خود را به منظور کنترل جریان ترافیک و کاهش ریسک حرکت جانبی توسط مهاجمان تقسیم بندی کنید. جداسازی شبکه مدیریت vCenter از سایر بخشها، از نفوذ احتمالی و گسترش آن جلوگیری خواهد کرد.
تست مداوم: بهبود امنیت ESXi
محافظت از vCenter در برابر حملات باج افزاری در محیط ESXi بسیار حیاتی است زیرا vCenter Server بهعنوان مرکز کنترل و مدیریت زیرساختهای مجازی عمل میکند و نفوذ به آن میتواند به راحتی منجر به توقف تمامی ماشینهای مجازی و از دست رفتن دادهها شود.
باجافزارها معمولاً هدفشان رمزگذاری دادهها و درخواست مبلغی برای بازگرداندن آنها است که در محیطهای مجازی و تحت کنترل vCenter میتواند تأثیرات بالقوه و ویرانگری داشته باشد و کل سازمان را تحت تاثیر قرار دهد.
از این رو، انجام ارزیابیهای منظم میتواند به شناسایی و رفع شکافهای امنیتی پیش از تبدیل شدن به مسائل جدی کمک کند. به کمک کارشناسان امنیتی که میتوانند به شما در اجرای استراتژی مدیریت مواجهه با تهدیدات مستمر (CTEM) متناسب کمک کنند، از سازمان خود محافظت نمایید.
منبع
مقالات پیشنهادی:
سوء استفاده باج افزارها از آسیب پذیری های VMware ESXi
نفوذ نوع لینوکسی باج افزار Play به سیستمهای VMWare ESXi
سوء استفاده باج افزار BlackByte از آسیب پذیری VMware ESXi
نفوذ باج افزار Eldorado به سیستمهای ویندوز، لینوکس و VMهای VMware ESXi
باج افزار Cicada، نسخه لینوکسی سرورهای VMware ESXi را مورد هدف قرار داد