خانه » پیامد حملات باج افزاری به محیط ESXi

پیامد حملات باج افزاری به محیط ESXi

توسط Vulnerbyt_News
تهدیدات سایبری - گروه vulnerbyte - گروه والنربایت -vulnerbyte group - حملات باج افزاری به محیط ESXi

باج ‌افزارهای محیط ESXi یکی از تهدیدات جدید و پیچیده‌ای هستند که سرورهای مجازی‌سازی که ازVMware ESXi  استفاده می‌کنند را مورد هدف قرار میدهند. مهاجمان در این قبیل حملات از باج‌ افزار برای رمزگذاری داده‌های محیط‌های مجازی استفاده می‌کنند و این تهدید به دلیل عملکرد خاص سیستم‌های مجازی، ممکن است برای شناسایی و مقابله بسیار پیچیده و دشوار باشد.

حملات باج افزاری با هدف نفوذ به سرورهای VMware ESXi در سال ۲۰۲۴ بطور چشمگیری افزایش یافته و به سطح هشدار دهنده‌ای رسیده است. میانگین تقاضای باج از سوی گروه‌های باج افزار در این سال به ۵ میلیون دلار افزایش یافته است.

طبق گفته Shodan، تقریبا ۸ هزار میزبان ESXi متصل به اینترنت وجود دارد.  اکثر انواع باج افزارهایی که درحال حاضر به سرورهای ESXi حمله می‌کنند، نوعی از باج افزار بدنام Babuk هستند که به منظور فرار از شناسایی توسط مکانیزم‌های امنیتی تولید شده‌اند.

علاوه بر این، مهاجمان در برخی موارد با فروش دسترسی اولیه خود به سایر گروه‌های باج افزار، از این طریق برای خود کسب درآمد می‌کنند.

 

معماری ESXi

معماری VMware ESXi به‌عنوان یک هایپروایزر نوع ۱ برای مجازی‌سازی در محیط‌های دیتاسنتر و سرورهای فیزیکی طراحی شده است. این معماری به‌طور مستقیم بر روی سخت‌افزار سرور نصب می‌شود و قابلیت ایجاد و مدیریت ماشین‌های مجازی را فراهم می‌آورد.

برای درک بهتر اینکه چگونه یک مهاجم می‌تواند کنترل میزبان ESXi را به دست آورد، شناخت معماری محیط‌های مجازی ضروری است. این موضوع به شناسایی آسیب پذیری‌ها و نقاط ورودی بالقوه کمک می‌کند. مهاجمان با تکیه بر این شناخت می‌توانند سرورهای ESXi را مورد نفوذ قرار دهند و میزان نفوذ خود در شبکه و تاثیر حمله خود را به حداکثر برسانند.

تهدیدات سایبری - گروه vulnerbyte - گروه والنربایت -vulnerbyte group - حملات باج افزاری به محیط ESXi

به عنوان مثال، سرورvCenter  یک ابزار مدیریت متمرکز است که به شما امکان می‌دهد تا چندین سرور ESXi را از یک نقطه مرکزی مدیریت و نظارت کنید. این ابزار به ‌ویژه در محیط‌های بزرگ و پیچیده مجازی‌سازی که تعداد زیادی سرور ESXi و ماشین‌های مجازی وجود دارد، بسیار مفید است.

سرور vCenter، میزبان ESXi را توسط اکانت پیش فرض vpxuser مدیریت می‌کند. اکانت vpxuser با داشتن مجوزهای root مسئول عملکردهای مدیریتی در ماشین‌های مجازی مستقر در میزبان ESXi است.

vCenter Server برای مدیریت و ارتباط با سرورهای ESXi از رمزهای عبور رمزگذاری ‌شده استفاده می‌کند. این رمزهای عبور به‌طور ایمن در یک پایگاه داده ذخیره می‌شوند تا بتوانند به‌طور خودکار و از راه دور به سرورهای  ESXi متصل شوند و عملیات مدیریتی انجام دهند.

یک کلید مخفی ذخیره شده در سرور vCenter ، رمزگشایی رمز عبور را تسهیل کرده و در نتیجه کنترل کامل روی هر یک از میزبان‌های ESXi را تسهیل می‌سازد. پس از فرآیند رمزگشایی، اکانت vpxuser می‌تواند برای عملیات مختلف از جمله گرفتن مجوزهای root به منظور تغییر پیکربندی‌ها، تغییر رمز عبور سایر اکانت‌ها، لاگین به سیستم SSH و اجرای باج افزار مورد استفاده قرار گیرد.

 

رمزگذاری در ESXi

گروه‌های باج افزار قصد دارند با دشوارتر کردن بازیابی فایل‌ها، سازمان‌ها را ملزم به پرداخت باج کنند. این امر در حملات ESXi با هدف قرار دادن چهار نوع فایل که برای تداوم عملیات ضروری هستند، محقق می‌شود:

  1. فایل‌های VMDK: یک فایل دیسک مجازی است که محتویات درایو هارد ماشین مجازی را ذخیره می‌کند. رمزگذاری این فایل‌ها، ماشین مجازی را کاملا غیرقابل اجرا می‌کند.
  2. فایل‌های VMEM: فایل صفحه‌بندی یا paging file هر ماشین مجازی. رمزگذاری یا حذف فایل‌های VMEM می‌تواند منجر به از دست رفتن داده‌ها و مسائلی هنگام تلاش برای از سرگیری ماشین‌های مجازی تعلق شده (suspend) شود.
  3. فایل‌هایVSWP : یا فایل‌های VM Swap در محیط VMware vSphere و مجازی‌سازی، فایل‌های موقتی هستند که برای مدیریت حافظه ماشین‌های مجازی استفاده می‌شوند. این فایل‌ها زمانی ایجاد می‌شوند که ماشین مجازی روشن است و به صورت موقت فضای حافظه‌ای را که ماشین نیاز دارد ولی به‌طور مستقیم از RAM  موجود در هاست ESXi قابل تأمین نیست، جبران می‌کنند. رمزگذاری این فایل‌های Swap می تواند منجر به کرش کردن ماشین‌های مجازی شود.
  4. فایل‌های VMSN: فایل VMSN یکی از فایل‌های مرتبط با ماشین‌های مجازی در محیط VMware vSphere است که اطلاعات مربوط به Snapshot یا عکس‌لحظه‌ای ماشین مجازی را به منظور بک آپ گیری ذخیره می‌کند. این فایل نقش مهمی در مدیریت و بازیابی وضعیت یک ماشین مجازی دارد. رمزگذاری این فایل‌ها، فرآیند بازیابی را پیچیده می‌کند.

ازآنجایی که فایل‌های درگیر در حملات باج افزاری به سرورهای ESXi ، حجم زیادی دارند، مهاجمان معمولا از رویکرد رمزگذاری هیبریدی یا ترکیبی استفاده می‌کنند. آنها در واقع سرعت رمزگذاری متقارن را با امنیت رمزگذاری نامتقارن ترکیب می‌کنند.

  • رمزگذاری متقارن (Symmetric Encryption): یکی از روش‌های رمزگذاری است که در آن از یک کلید مشترک برای رمزگذاری و رمزگشایی داده‌ها استفاده می‌شود. این متد به دلیل سادگی و سرعت بالایی که دارد یکی از قدیمی‌ترین و پرکاربردترین روش‌های رمزگذاری است. مهاجمان می‌توانند با استفاده از این متد به سرعت فایل‌ها را رمزگذاری کرده و در نتیجه زمان لازم برای شناسایی و خنثی کردن تهدیدات توسط سیستم‌های امنیتی را کاهش دهند.
  • رمزگذاری نامتقارن (Asymmetric encryption): روش‌ رمزگذاری نامتقارن از سرعت کمتری برخوردار است زیرا شامل یک کلید عمومی و یک کلید خصوصی می‌باشد و به عملیات پیچیده ریاضی نیاز دارند اما در مقابل از امنیت بالایی برخوردار است.

از این رو در باج افزار، رمزگذاری نامتقارن در درجه اول برای ایمن سازی کلیدهای مورد استفاده در رمزگذاری متقارن به جای خود داده‌ها استفاده می‌شود. این روش، تضمین می‌کند که کلیدهای متقارن رمزگذاری شده تنها توسط شخصی که کلید خصوصی مربوطه را در اختیار دارد، یعنی مهاجم می‌تواند رمزگشایی شود. انجام این کار از رمزگشایی آسان جلوگیری می‌کند و یک لایه امنیتی اضافی برای مهاجم فراهم می‌آورد.

 

۴ استراتژی کلیدی برای کاهش ریسک

با توجه به اینکه vCenter به‌عنوان هسته اصلی مدیریت زیرساخت مجازی عمل می‌کند، آسیب‌ پذیری آن می‌تواند منجر به نفوذ به کل زیرساخت شود. از این رو، برای محافظت از vCenter Server در مقابل تهدیدات باج ‌افزاری و افزایش امنیت محیط VMware ESXi، اقدامات متعددی باید صورت پذیرد، از جمله:

  1. به روزرسانی منظم VCSA: همیشه از آخرین نسخه اپلیکیشن سرور VMware vCenter یا (VCSA) استفاده کنید و آن را به روز نگه دارید. انتقال از vCenter مبتنی بر ویندوز به VCSA می‌تواند امنیت را بهبود بخشد، زیرا به طور خاص برای مدیریت vSphere طراحی شده است.
  2. اجرای مکانیزم MFA و حذف کاربران پیش فرض: استفاده از مکانیزم احراز هویت چند عاملی (MFA) در کنار به کارگیری رمز عبور قوی و پیچیده، توصیه می‌شود. علاوه بر این، اکانت‌های پیش فرض را حذف کنید.
  3. استقرار ابزارهای شناسایی موثر: از ابزارهای تشخیص و شناسایی قوی در vCenter خود استفاده کنید. مکانیزم‌هایی مانند EDR، XDRیا سایر ابزارهای مشابه می‌توانند به نظارت و هشدار کمک کرده و دستیابی موفق مهاجمان را دشوارتر کنند. به عنوان مثال، تنظیم خط مشی‌های نظارتی که به طور خاص تلاش‌های دسترسی غیر معمول به اکانت  vpxuser را ردیابی می‌کند، پیشنهاد می‌شود.
  4. تقسیم بندی شبکه: شبکه خود را به منظور کنترل جریان ترافیک و کاهش ریسک حرکت جانبی توسط مهاجمان تقسیم بندی کنید. جداسازی شبکه مدیریت vCenter از سایر بخش‌ها، از نفوذ احتمالی و گسترش آن جلوگیری خواهد کرد.

 

تست مداوم: بهبود امنیت ESXi

محافظت از vCenter  در برابر حملات باج ‌افزاری در محیط ESXi  بسیار حیاتی است زیرا vCenter Server  به‌عنوان مرکز کنترل و مدیریت زیرساخت‌های مجازی عمل می‌کند و نفوذ به آن می‌تواند به ‌راحتی منجر به توقف تمامی ماشین‌های مجازی و از دست رفتن داده‌ها شود.

باج‌افزارها معمولاً هدفشان رمزگذاری داده‌ها و درخواست مبلغی برای بازگرداندن آنها است که در محیط‌های مجازی و تحت کنترل vCenter  می‌تواند تأثیرات بالقوه و ویرانگری داشته باشد و کل سازمان را تحت تاثیر قرار دهد.

از این رو، انجام ارزیابی‌های منظم می‌تواند به شناسایی و رفع شکاف‌های امنیتی پیش از تبدیل شدن به مسائل جدی کمک کند. به کمک کارشناسان امنیتی که می‌توانند به شما در اجرای استراتژی مدیریت مواجهه با تهدیدات مستمر (CTEM) متناسب کمک کنند، از سازمان خود محافظت نمایید.

 

منبع

همچنین ممکن است دوست داشته باشید

پیام بگذارید