هجمات Ransomware ESXiArgs: المخاطر وحماية البيانات

الدروس التعليمية

عامًا، يهجم التلقائيات الخبيرة الإلكترونية الحاسوب الفيزيائي والمحركات الافتراضية التي تشتغل على Windows وبالكاد على macOS وLinux. للأسف، يواصل المجرمون الإلكترونيون تطوير أصدقاء جديدة للتلقائيات الخبيرة التي يمكنها أن تلتقط أنظمة تشغيل أخرى عن طريق حاسوب جديد. مثال حديث كان هجوم ESXi التلقائي الذي أصاب محاجر الVMware باستغلال تسارعات ESXi، والذي أدى إلى إنعدام الوقت الكبير في منظمات حول العالم.

هذا المُقال الورقي يشرح كم يعتبر الهجمات التلقائية الخبيرة خطرة، كيف يمكن للتلقائية الخبيرة أن تلتقط مضيف ESXi، وكيف تحميل ضد التلقائيات الخبيرة بشكل كامل، بما في ذلك التلقائية ESXi Args.

بداية حملة ESXi التلقائي الخبيرة

أول حالات لهجمات ESXi التلقائي الخبيرة تم تسجيلها في أكتوبر/أكتوبر 2022 عندما أنتهى VMware بدعم عام ESXi 6.5 و6.7. تم إصابة عدد كبير من مضيفات ESXi في فرنسا وألمانيا والولايات المتحدة وكندا وبريطانيا وبلدان أخرى. في فبراير/فبراير 2023، كان هناك أكثر من 3000 مضيف مصاب بالبيانات المشفرة بتلقائية ESXi ولا يوجد وسيلة للتعافي. تعرف الأسماء لتلقائيات ESXi التي قامت بهجوم المضيفات ESXi على ESXiArgs وRoyal وCl0p. بالإضافة إلى عائلات جديدة من تلقائيات ESXi مثل RansomEXX وLockbit وBlackBasta وCheerscrypt وHive وRedAlert/N13V وأخرى.

تُعتبر مُضيفات ESXi مُغرية للمهاجمين لأن تجاذبية تجاذبية الخادم قد أصبحت أكثر شيوعًا، ويستخدم العديد من المؤسسات الآلات الافتراضية في بيئات إنتاجها. ونتيجة لذلك، كان خلقة برامج الفدية مُركزة على شن هجمات برامج الفدية على VMware ESXi على أمل تحقيق أرباح هائلة. فإن تصيب مُضيف ESXi واحدة تسمح للمهاجمين بتشفير/تدمير بيانات العديد من الآلات الافتراضية المقيمة على هذا المُضيف. يمكن أن يكون هذا النهج أكثر فعالية من تصيب الآلات الافتراضية، التي قد تكون تعمل بأنظمة تشغيل مختلفة. كانت هجمات برامج الفدية ESXi Args واحدة من أكبر هجمات برامج الفدية على الخوادم غير ويندوز.

أي الإصدارات من ESXi عُرضة لبرامج فدية ESXi؟

تُستغل برامج فدية ESXi ثغرات مُختلفة، بما في ذلك CVE-2022-31699، CVE-2021-21995، CVE-2021-21974، CVE-2020-3992، وCVE-2019-5544.

تستخدم برامج فدية ESXi Args CVE-2021-21974 لتصيب مُضيف ESXi. وهذه هي ثغرة تم اكتشافها في عام 2021 ويمكن أن تحدث على مُضيفات ESXi التي لم يتم تصحيحها/تحديثها بعد. هذه هي ثغرة التدفق الزائد في الذاكرة في خدمة OpenSLP التي يتم تشغيلها على ESXi. تم نشر تصحيح لـ CVE-2021-21974 في 21 فبراير 2021.

الإصدارات التالية من ESXi عُرضة لثغرة CVE-2021-21974:

  • ESXi 7.x قبل ESXi70U1c-17325551
  • ESXi 6.7.x قبل ESXi670-202102401-SG
  • ESXi 6.5.x قبل ESXi650-202102101-SG

لماذا كانت هناك العديد من الخوادم غير المصلحة ولماذا كانت قابلة للوصول من الإنترنت؟ يتطلب التصحيح توقف خادم ESXi، ومع وجود عدد كبير من الخوادم، قد لا تكون لدى بعض المسؤولين الموارد أو الوقت الكافي لتحديثها في الوقت المناسب. بالإضافة إلى ذلك، لم يتم استغلال ثغرات ESXi على نطاق واسع قبل هجوم الفدية ESXi Args. خلق ذلك الانطباع بأن الخوادم غير المصلحة من ESXi ليست تهديدًا، وتم تحديث الخوادم ببطء.

كانت خوادم ESXi التي تعمل في شركات مزودي الخدمة أيضًا مصابة بفيروس الفدية ESXi Args. قدم مزودو الخدمات البنية التحتية للعملاء، وقام العملاء بتثبيت محفظات ESXi لتشغيل الآلات الظاهرية. كانت هذه الخوادم معرضة للإنترنت من قبل العملاء، مما سمح للمهاجمين بالوصول إليها. أراد المهاجمون من الضحية دفع حوالي 23,000 دولارًا في عملات بيتكوين.

كيف يعمل برنامج الفدية ESXi؟

يجد الجناة الإلكترونيين خوادم ESXi الضعيفة، خاصة تلك الخوادم التي تعرضت للإنترنت. تم التحقق من أن طريقة التعرض تستغل ثغرة OpenSLP، والتي من المحتمل أن تكون CVE-2021-21974. يتم استخدام المنفذ 427 (TCP/UDP) لـ OpenSLP. تشير السجلات إلى تورط مستخدم dcui في عملية التعرض هذه. تسمح ثغرة برنامج الفدية ESXi هذه للمهاجمين بالاستفادة من الكود التعسفي عن بُعد.

عملية التشفير تستخدم مفتاحًا عامًا نشرته البرامج الضارة، الموجود في /tmp/public.pem. تتمحور هذه العملية بشكل خاص حول ملفات الآلة الافتراضية، بما في ذلك أنواع الملفات مثل “.vmdk”، “.vmx”، “.vmxf”، “.vmsd”، “.vmsn”، “.vswp”، “.vmss”، “.nvram”، والملفات ذات الامتداد “.vmem”. يرجى ملاحظة أن ملف “.vmdk” هو ملف وصف قرص افتراضي وأن “-flat.vmdk” هو ملف قرص افتراضي يحتوي على بيانات VM. ينشئ برنامج الفدية ESXi Args ملفًا “.args” لكل ملف مشفر مع البيانات الوصفية (ربما يفترض مبتكرو البرامج الضارة أنه قد تكون هناك حاجة لملفات “.args” للفك).

أدناه هو التسلسل بالتفصيل:

  1. عندما يتم اختراق الخادم، يتم وضع الملفات التالية في الدليل /tmp:
    • encrypt يمثل المشفر التنفيذي بتنسيق ELF.
    • encrypt.sh يعمل كمنطق تشغيلي للهجوم. هذا نص القشرة الذي ينفذ مختلف الإجراءات قبل تشغيل المشفر، كما هو موضح أدناه.
    • public.pem هو مفتاح RSA العام المستخدم لتشفير المفتاح المسؤول عن تشفير الملفات.
    • motd هو ملاحظة فدية نصية يتم تكرارها إلى /etc/motd، مما يضمن عرضها عند تسجيل الدخول. سيتم الاحتفاظ بالملف الأصلي على الخادم كما “/etc/motd1.”
    • index.html هو نسخة HTML من ملاحظة الفدية مصممة لاستبدال الصفحة الرئيسية لبرنامج VMware ESXi. يجب أن يتم نسخ الملف الأولي على الخادم باسم ” “index1.html” في نفس الدليل.
  2. يتم تشغيل المشفر من خلال نص شل، الذي يستدعيه مع مجموعة من المعلمات في سطر الأوامر. تشمل هذه المعلمات ملف مفتاح RSA العام، الملف الهدف للتشفير، أجزاء البيانات للبقاء دون تغيير، حجم كتلة التشفير، وحجم الملف الكلي.

    الاستخدام: تشفير <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]

    حيث:

    • enc_step هو عدد الميغابايت لتخطيها أثناء تشفير الملفات
    • enc_size هو عدد الميغابايت في كتلة التشفير
    • file_size هو حجم الملف بالبايت (للملفات الفارغة)
  3. يتم بدء تشغيل هذا المشفر عبر البرنامج النصي encrypt.sh، الذي يعمل كمنطق أساسي للهجوم. عند البدء، يقوم البرنامج النصي باتخاذ الإجراءات التالية، والتي يتم شرحها بإيجاز أدناه.
  4. يقوم برنامج الفدية ESXi بتنفيذ أمر لتعديل ملفات التكوين لأجهزة الكمبيوتر الظاهرية ESXi (.vmx) عن طريق استبدال حدوثات ” .vmdk ” و ” .vswp ” بـ ” 1.vmdk ” و ” 1.vswp ” على التوالي.
  5. بعد ذلك، يقوم برنامج الفدية بإنهاء جميع الأجهزة الظاهرية النشطة حاليًا بإصدار أمر ” kill -9 ” لإيقاف عمليات تحتوي على كلمة ” vmx ” .
  6. يحاول برنامج الفدية إغلاق الأجهزة الظاهرية عن طريق إنهاء عملية VMX لإطلاق الملفات المقفلة وتعديلها. ومع ذلك، لا يؤدي هذا الوظيفة بشكل منتظم كما هو متوقع، مما يؤدي إلى بقاء بعض الملفات مقفلة. بعد تعديل ملفات VM، تصبح الأجهزة الظاهرية غير قابلة للاستخدام.
  7. يقوم البرنامج النصي بالمضي قدمًا لاسترداد قائمة بأحجام ESXi مع الأمر:

    esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}

    مع هذا الأمر، يقوم برنامج الفدية بفحص هذه الأحجام للملفات التي تحمل امتدادات ملف محددة.

  8. بالنسبة لكل ملف تم اكتشافه، يولد النص نفسه ملف [اسم_الملف].args في نفس الدليل. يحتوي هذا الملف .args على المعلمات المحسوبة، بما في ذلك خطوة (عادة ‘1’) وحجم الملف. على سبيل المثال، إذا كان الملف هو “VM01.vmx”، فسيتم إنشاء ملف مرتبط بالاسم “VM01.vmx.args”. يقوم البرنامج الضار بتوليد “argsfile” لتخزين الوسائط التي تم تمريرها إلى الثنائي المشفر، والتي تتضمن معلومات مثل عدد الميغابايت للتخطي، وحجم كتلة التشفير، وحجم الملف.
  9. بعد ذلك، يستخدم النص التنفيذي “encrypt” لتشفير الملفات استنادًا إلى المعلمات المحسوبة.
  10. بعد التشفير، يقوم النص بتبديل ملف “index.html” في ESXi وملف “motd” للخادم بملاحظات الفدية المذكورة سابقًا.

    لا توجد أدلة على نقل البيانات إلى الخارج (استنزاف البيانات). في بعض الحالات، قد تنجح تشفير الملفات جزئيًا فقط، مما يتيح للضحية استعادة بعض البيانات بشكل محتمل.

    عندما يتم إكمال العدوى وتعديل/تشفير البيانات بنجاح، يتم عرض ملاحظة الفدية مثل هذه على صفحة HTML:

    “تنبيه أمني! لقد اخترقنا شركتك بنجاح.

    أرسل الأموال خلال 3 أيام، وإلا فسنكشف عن بعض البيانات ونرفع السعر.”

  11. بعد ذلك، يقوم النص بتنفيذ مهام تنظيف، بما في ذلك حذف السجلات وإزالة برنامج خلفي Python الموجود عند /store/packages/vmtools.py. كما يقوم أيضًا بإزالة خطوط محددة من بعض الملفات:
    • /bin/hostd-probe.sh
    • /var/spool/cron/crontabs/root
    • /etc/rc.local.d/local.sh
    • /etc/vmware/rhttpproxy/endpoints.conf

    يتم إصدار مذكرة حرجة، تحث المسؤولين على التحقق مما إذا كان الملف “vmtools.py” موجودًا على مضيف ESXi. إذا تم العثور عليه، يُنصح بإزالته فورًا.

  12. وأخيرًا، يقوم النص بتنفيذ “/sbin/auto-backup.sh” لتحديث الإعدادات المحفوظة في ملف “/bootbank/state.tgz” وتنشيط SSH.

كما تبين أن هذا الثغرة، جنبًا إلى جنب مع الثغرات الأخرى في ESXi، يتم استغلالها نشطًا من قبل مجموعات فدية بالإضافة إلى ESXiArgs.

ملحوظة: سلوك ترويج برامج الفدية لـ VMware ESXi يمكن أن يتغير مع الإصدارات المحدثة لبرامج الفدية وإصدارات برامج الفدية الجديدة.

كيفية استعادة البيانات بعد هجوم ESXi Args Ransomware

لا توجد علل في آلية التشفير يمكن أن تسمح لك بفك تشفير الملفات المشفرة. ومع ذلك، قامت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) بإنشاء نص يمكن أن يساعد في استعادة الآليات الظاهرية. الشيء الجيد هو أن ملفات الآليات الظاهرية، بما في ذلك وصف القرص الظاهري (.vmdk)، مشفرة، لكن ملف -flat.vmdk (حيث تخزن البيانات الآلية الظاهرية) غير مشفر. هذا يجعل استعادة الآليات الظاهرية ممكنة.

قدمت CISA نص استعادة مصمم لمساعدة المؤسسات التي تضررت من برامج الفدية ESXi Args. هذا البرنامج الضار يستهدف خوادم ESXi بشكل محدد، ويقوم بتشفير ملفات التكوين الخاصة بها، وقد يؤدي بشكل محتمل إلى جعل الآليات الظاهرية (VMs) غير صالحة للعمل. على الرغم من أن الأداة تم تطويرها بالتعاون مع VMware، إلا أنها لا تدعم مباشرة من قبل VMware. إذا واجه العملاء أي مشاكل أثناء استخدام هذه الأداة، يتم تشجيعهم على الإبلاغ عن المشاكل على GitHub على هذا العنوان: https://github.com/cisagov/ESXiArgs-Recover/issues.

تلتزم CISA بمعالجة وحل المخاوف بسرعة. لمزيد من التفاصيل حول استخدام النص، يرجى الرجوع إلى هذا الرابط.يمكنك أيضًا تنزيل وثيقة PDF تحتوي على التعليمات.

يمكنك أيضًا تنزيل مستند PDF بتعليمات.

إذا كان لديك علامات على أن مضيف ESXi تم إصابته ببرنامج التشفير الاحتيالي ESXi، فكر في الإجراءات التالية:

  • قم بفصل المضيف المصاب ESXi عن الشبكة.
  • لا تدفع ثمن الفدية. دفع الفدية تكافئ المجرمين الإلكترونيين ويشجعهم على إنشاء المزيد من برامج التشفير الاحتيالي للحصول على المزيد من المال. إذا دفعت الفدية، فليس هناك ضمان بأن الملفات المدمرة بواسطة برنامج التشفير الاحتيالي VMware ESXi ستتم استردادها.
  • قم بإبلاغ حملة التشفير الاحتيالي. من المهم الإبلاغ عن حملة التشفير الاحتيالي لأنها تمكن الاستجابة السريعة، والامتثال القانوني، وحماية البيانات، والثقة، والتخفيف من التهديدات، والدفاع الجماعي ضد الهجمات الإلكترونية. يشكل الإبلاغ عن هجوم برامج التشفير الاحتيالي جزءًا أساسيًا من إدارة الحوادث الأمنية. لا يساعد فقط المنظمات الفردية في التعافي من الهجمات، بل يساهم أيضًا في الأمان والمرونة العامة للنظام الرقمي.
  • تحقق مما إذا كانت هناك أدوات استرداد أو فك التشفير متاحة للإصدار الحالي من برامج التشفير الاحتيالي.
  • إذا لم تتوفر أدوات فك التشفير، استعادة البيانات من نسخة احتياطية (يجب أن يكون لديك نسخة احتياطية منشورة قبل هجوم التشفير الاحتيالي لاستخدام هذه الطريقة). في بعض الأحيان قد يكون من الأكثر فاعلية استعادة الأماكن الافتراضية من نسخة احتياطية. ضع في اعتبارك تثبيت جديد لـ ESXi ونسخ الأماكن الافتراضية المستعادة إلى ذلك المضيف ESXi الجديد للتأكد من عدم وجود أجزاء من عدوى التشفير الاحتيالي على المضيف حيث يتم وضع الأماكن الافتراضية المستعادة.

كيفية الحماية من ESXi من التشفير الاحتيالي

اتبع التوصيات التالية لحماية ESXi من التشفير الاحتيالي:

  • تصحيح مضيفات ESXi الخاصة بك التي لديها قيود مثل CVE-2021-21974، CVE-2022-31699، CVE-2021-21995، CVE-2020-3992، و CVE-2019-5544. إذا لم يكن نسخة ESXi الخاصة بك مدعومة بعد الآن، فضع في الاعتبار الترقية إلى نسخة كبرى مدعومة. إذا لم تتمكن من تحديث ESXi، تعطيل خدمة OpenSLP (خدمة موقع الخدمة) على ESXi. تعطيل خدمة لديها ضعف لنسخة معينة من ESXi يساعد أيضًا.
  • تثبيت التصحيحات الأمنية (التحديثات) على مضيف ESXi بانتظام للحماية من أخطر التهديدات الأخيرة.
  • لا تُعرّض أجهزة ESXi للإنترنت. إذا كانت عملية العمل تتطلب توافر أجهزة ESXi من أجل العاملين والشركاء من خلال الإنترنت، فقم بتكوين خادم VPN وجدار حماية. قم بتكوين جدار الحماية للسماح بالوصول فقط من عناوين IP الموثوق بها. الاتصال بالشبكة عبر VPN للوصول إلى أجهزة ESXi آمن في هذه الحالة.

  • إذا لم يكن هناك حاجة إلى إمكانية الوصول عبر SSH، فقم بتعطيله أو تحديد مهلات الانتظار.

  • قم بتعطيل SMB v1.0 وإصدارات أخرى من البروتوكولات القديمة، خاصة إذا لم تكن مستخدمة.

  • استخدم تقسيم الشبكة للشبكات، بما في ذلك شبكة إدارة ESXi.

  • استخدم كلمات مرور قوية بطول 8 أحرف على الأقل، بما في ذلك الأحرف الصغيرة والكبيرة والأرقام والأحرف الخاصة.

  • قم بتثبيت وتكوين مراقبة البنية التحتية لمراقبة مرور الشبكة وحمل الخوادم. يسمح المراقبة بالكشف عن الأنشطة المشبوهة أو الضارة في الوقت المناسب.

  • قم بتثقيف المستخدمين بشأن حماية من عمليات التشويش وتأكد من أن المستخدمين يعرفون ما الذي يجب عليهم فعله إذا كانوا يشتبهون في حدوث عملية تشويش أو محاولة لها.

  • قم بتكوين حماية بريد إلكتروني من الفيروسات لأن إرسال روابط أو ملفات ضارة عبر البريد الإلكتروني هو طريقة شائعة لإصابة الكمبيوترات بالتشويش. قم بتعطيل الروابط النشطة في رسائل البريد الإلكتروني.

  • قم بتثبيت بروتوكولات مكافحة الفيروسات على أجهزة الكمبيوتر والخوادم للمستخدمين. قم بتحديث قواعد الفيروسات بشكل دوري لبرنامج مكافحة الفيروسات.
  • قم بتأمين نسخة احتياطية لأجهزتك الافتراضية بشكل دوري واستخدم استراتيجية النسخ الاحتياطي 3-2-1. لا تنس أن يكون لديك نسخة احتياطية غير قابلة للتغيير أو نسخة احتياطية غير متصلة بالشبكة لضمان عدم تأثير هذه النسخة الاحتياطية في حالة هجوم التنصير. وجود نسخة احتياطية لـ ESXi و نسخة احتياطية لـ vCenter يمكن أن يساعد في توفير الوقت عندما يتعلق الأمر باستعادة البيانات والوظائف.
  • أعد خطة استجابة لحدث طارئ وأبلغ الجميع بما يجب القيام به في حالة هجوم التنصير على ESXi.
  • أنشئ خطة استرداد الكوارث للتأكد من أنك قادر على استرداد البيانات واستعادة الوظائف في مختلف السيناريوهات. فحص النسخ الاحتياطي و اختبار استرداد الكوارث مهمان.

خاتمة

يمكن أن يكون الفدية الخبيثة في ESXi مدمرة لأنه يمكن أن تفقد العديد من الآلات الظاهرية حتى إذا تمت إصابة مضيف ESXi واحد. النسخ الاحتياطي للبيانات هو أكثر استراتيجية فعالية لتجنب فقدان البيانات في حالة هجمات الفدية الخبيثة. اتبع التوصيات حول كيفية حماية ESXi من الفدية الخبيثة التي تمت ذكرها أعلاه في هذه المقالة. استخدم NAKIVO Backup & Replication لنسخ احتياطي للآلات الظاهرية الموجودة على مضيفات VMware ESXi إلى مستودعات غير قابلة للتغيير. بهذه الطريقة ، يمكنك استخدام هذه النسخ الاحتياطية المقاومة للفدية الخبيثة لاستعادة سريعة للآلات الظاهرية الكاملة أو بيانات التطبيق.

Source:
https://www.nakivo.com/blog/vmware-esxi-ransomware/