Атаки рансомвара ESXiArgs: риски и защита данных

Учебники

Обычно атаки вымогательского программного обеспечения направлены на физические компьютеры и виртуальные машины, работающие под управлением Windows, а также, в меньшей степени, на macOS и Linux. К сожалению, киберпреступники продолжают разрабатывать новые версии вымогательского программного обеспечения, способные заражать другие операционные системы через только что обнаруженные уязвимости. Недавним примером была атака вымогательского программного обеспечения ESXi, которая затронула гипервизоры VMware, эксплуатируя уязвимости ESXi, что привело к серьезным простоям в организациях по всему миру.

В этом блоге объясняется, насколько опасны атаки вымогательского программного обеспечения, как вымогательское программное обеспечение может заразить хост ESXi и как защититься от него, включая защиту от вымогательского программного обеспечения ESXi Args.

Начало кампании по распространению вымогательского программного обеспечения ESXi

Первые случаи атак вымогательского программного обеспечения ESXi были зарегистрированы в октябре 2022 года, когда VMware прекратила общую поддержку ESXi 6.5 и 6.7. Большое количество хостов ESXi были заражены во Франции, Германии, Соединенных Штатах, Канаде, Великобритании и других странах. К февралю 2023 года было заражено более 3 000 хостов ESXi с зашифрованными данными и без возможности восстановления. Среди названий вымогательского программного обеспечения, которое атаковало хосты ESXi, были ESXiArgs, Royal и Cl0p. Кроме того, появились новые семейства вымогательского программного обеспечения ESXi, такие как RansomEXX, Lockbit, BlackBasta, Cheerscrypt, Hive, RedAlert/N13V и другие.

Хосты ESXi привлекательны для атакующих, потому что виртуализация серверов стала более популярной, и многие организации используют виртуальные машины для своих производственных сред. В результате создатели вымогательских программ сосредотачиваются на инициировании атак вымогательского программного обеспечения VMware ESXi с надеждой на получение огромных прибылей. Заражение одного хоста ESXi позволяет атакующим зашифровать/уничтожить данные нескольких виртуальных машин, находящихся на этом хосте. Этот подход может быть более эффективным, чем заражение виртуальных машин, которые могут работать под различными операционными системами. Атака вымогательского программного обеспечения ESXi Args была одной из крупнейших атак вымогательского программного обеспечения для серверов, работающих под управлением операционных систем, отличных от Windows.

На какие версии ESXi накладываются уязвимости для атак вымогательского программного обеспечения ESXi?

Вымогательское программное обеспечение ESXi использует различные уязвимости, включая CVE-2022-31699, CVE-2021-21995, CVE-2021-21974, CVE-2020-3992 и CVE-2019-5544.

Вымогательское программное обеспечение ESXi Args использует CVE-2021-21974 для заражения хоста ESXi. Это уязвимость, обнаруженная в 2021 году, может произойти на хостах ESXi, которые по-прежнему не были патчены/обновлены. Это уязвимость переполнения кучи в службе OpenSLP, работающей на ESXi. Патч для CVE-2021-21974 был опубликован 21 февраля 2021 года.

Следующие версии ESXi подвержены CVE-2021-21974:

  • ESXi 7.x до ESXi70U1c-17325551
  • ESXi 6.7.x до ESXi670-202102401-SG
  • ESXi 6.5.x до ESXi650-202102101-SG

Почему было столько необновленных серверов и почему они были доступны из интернета? Установка патчей требует простоя сервера ESXi, и при большом количестве хостов некоторым администраторам может не хватать ресурсов или времени, чтобы установить патчи вовремя. Кроме того, уязвимости ESXi не были широко использованы до атаки вымогательским вирусом ESXi Args. Это создало иллюзию, что необновленные серверы ESXi не представляют угрозы, и серверы обновлялись медленно.

Серверы ESXi, работающие в компаниях-поставщиках хостинга, также были заражены вымогательским вирусом ESXi Args. Поставщики хостинга предоставляли инфраструктуру для клиентов, а клиенты устанавливали гипервизоры ESXi для запуска виртуальных машин. Эти серверы ESXi были доступны в интернете для клиентов, что позволило злоумышленникам получить к ним доступ. Злоумышленники хотели, чтобы жертва заплатила около 23 000 долларов в биткоинах.

Как работает вымогательский вирус ESXi?

Киберпреступники находят уязвимые хосты ESXi, особенно те, которые доступны из интернета. Метод компрометации был проверен на использование уязвимости OpenSLP, возможно, CVE-2021-21974. Порт 427 (TCP/UDP) используется для OpenSLP. Логи указывают на участие пользователя dcui в этом процессе компрометации. Эта уязвимость вымогательского вируса ESXi позволяет злоумышленникам удаленно эксплуатировать произвольный код.

Процесс шифрования использует открытый ключ, размещенный вредоносным программным обеспечением, расположенный в /tmp/public.pem. Конкретно, этот процесс шифрования направлен на файлы виртуальных машин, включая типы файлов, такие как “.vmdk”, “.vmx”, “.vmxf”, “.vmsd”, “.vmsn”, “.vswp”, “.vmss”, “.nvram”, и файлы с расширением “.vmem”. Обратите внимание, что файл “.vmdk” является файлом описания виртуального диска, а “-flat.vmdk” является файлом виртуального диска, содержащим данный виртуальной машины. Вымогатель ESXi создает файл “.args” для каждого зашифрованного файла с метаданными (вероятно, создатели вымогательского программного обеспечения предполагают, что файлы “.args” могут потребоваться для расшифровки).

Ниже подробно представлена последовательность:

  1. Когда сервер взломан, следующие файлы размещаются в каталоге /tmp:
    • encrypt представляет собой исполняемый шифровальщик в формате ELF.
    • encrypt.sh служит в качестве операционной логики для атаки. Это скрипт оболочки, который выполняет различные действия перед запуском шифровальщика, как описано ниже.
    • public.pem – это открытый ключ RSA, используемый для шифрования ключа, ответственного за шифрование файлов.
    • motd – это текстовое вымогательское сообщение, которое дублируется в /etc/motd, обеспечивая его отображение при входе в систему. Исходный файл на сервере будет сохранен как /etc/motd1.
    • index.html – это HTML-версия вымогательского сообщения, предназначенная для замены домашней страницы VMware ESXi. Исходный файл на сервере должен быть сохранен как “index1.html” в том же каталоге.
  2. Шифровальщик запускается через скрипт оболочки, который вызывает его с массивом параметров командной строки. Эти параметры включают файл открытого RSA-ключа, целевой файл для шифрования, секции данных, которые должны остаться неизменными, размер блока шифрования и общий размер файла.

    Использование: encrypt <public_key> <file_to_encrypt> [<enc_step>] [<enc_size>] [<file_size>]

    Где:

    • enc_step – это количество МБ для пропуска при шифровании файлов
    • enc_size – это количество МБ в блоке шифрования
    • file_size – это размер файла в байтах (для разреженных файлов)
  3. Инициализация этого шифровщика происходит с помощью скрипта оболочки encrypt.sh, который служит основной логикой для атаки. После инициализации скрипт выполняет следующие действия, кратко объясненные ниже.
  4. Скрипт шифровального программного обеспечения ESXi выполняет команду по изменению файлов конфигурации виртуальных машин ESXi (.vmx) путем замены вхождений «.vmdk» и «.vswp» на «1.vmdk» и «1.vswp», соответственно.
  5. Затем скрипт вынуждает завершить все текущие активные виртуальные машины, выполнив команду «kill -9» для остановки процессов, содержащих слово «vmx».
  6. Атакующий пытается остановить виртуальные машины, завершив процесс VMX для освобождения заблокированных файлов и их изменения. Однако эта функция не всегда работает должным образом, из-за чего некоторые файлы остаются заблокированными. После модификации файлов ВМ, ВМ становятся непригодными к использованию.
  7. Скрипт продолжает получать список томов ESXi с помощью команды:

    esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}

    С помощью этой команды рансомвар сканирует эти тома на предмет файлов с определенными расширениями.

  8. Для каждого обнаруженного файла скрипт создает соответствующий файл [file_name].args в том же каталоге. В этом файле .args содержатся вычисленные параметры, включая шаг (обычно «1») и размер файла. Например, если файл называется «VM01.vmx», создается связанный файл «VM01.vmx.args». Вредоносное ПО создает «argsfile» для хранения аргументов, переданных зашифрованному бинарному файлу, включая информацию, такую как количество мегабайт для пропуска, размер блока шифрования и размер файла.
  9. Затем скрипт использует исполняемый файл «encrypt» для шифрования файлов на основе рассчитанных параметров.
  10. После шифрования скрипт заменяет файл «index.html» ESXi и файл «motd» сервера вышеупомянутыми заметками о выкупе, как описано ранее.

    Нет доказательств передачи данных наружу (эксфильтрация данных). В некоторых случаях шифрование файлов может быть выполнено только частично, что позволяет жертве потенциально восстановить некоторые данные.

    Когда инфицирование и модификация/шифрование данных завершаются успешно, на HTML-странице отображается такая заметка вымогателя:

    Безопасность нарушена! Мы успешно взломали вашу компанию.

    Отправьте деньги в течение 3 дней, в противном случае мы раскроем некоторые данные и увеличим цену.”

  11. Затем скрипт выполняет задачи по очистке, включая удаление логов и удаление Python-задней двери, расположенной по адресу /store/packages/vmtools.py. Он также удаляет определенные строки из определенных файлов:
    • /bin/hostd-probe.sh
    • /var/spool/cron/crontabs/root
    • /etc/rc.local.d/local.sh
    • /etc/vmware/rhttpproxy/endpoints.conf

    Выдается критическое предупреждение, советуя администраторам проверить, существует ли файл “vmtools.py” на хосте ESXi. В случае обнаружения, рекомендуется немедленно удалить.

  12. Наконец, скрипт выполняет команду “/sbin/auto-backup.sh” для обновления конфигурации, сохраненной в файле “/bootbank/state.tgz“, и активирует SSH.

Также стало известно, что эта уязвимость, вместе с другими уязвимостями в ESXi, активно используется группами вымогателей помимо ESXiArgs.

ПРИМЕЧАНИЕ: Поведение программного обеспечения VMware ESXi после атаки вымогательским вирусом может измениться с появлением обновлений вымогательского вируса и новых его версий.

Как восстановить данные после атаки вымогательским вирусом ESXi Args

В криптографическом механизме нет ошибок, которые позволили бы вам расшифровать зашифрованные файлы. Однако Агентство кибербезопасности и инфраструктуры США (CISA) создало скрипт, который может помочь восстановить виртуальные машины. Хорошо то, что файлы виртуальных машин, включая дескриптор виртуального диска (.vmdk), зашифрованы, но файл -flat.vmdk (где хранятся данные виртуальной машины) не зашифрован. Это делает восстановление виртуальных машин возможным.

СISA представило скрипт восстановления, разработанный для помощи организациям, пострадавшим от вымогательского вируса ESXi Args. Этот вымогательский вирус напрямую атакует серверы ESXi, зашифровывая их конфигурационные файлы и, возможно, делая виртуальные машины (ВМ) неоперативными. Хотя инструмент был разработан совместно с VMware, он не непосредственно поддерживается компанией VMware. Если у клиентов возникают проблемы при использовании этого инструмента, их призывают сообщать о проблемах на GitHub по следующему адресу: https://github.com/cisagov/ESXiArgs-Recover/issues.

СISA стремится оперативно решать возникающие проблемы и заботится о них. Для получения дополнительной информации о использовании скрипта обратитесь по этой ссылке.Вы также можете скачать PDF-документ с инструкциями.

Вы также можете скачать документ в формате PDF с инструкциями.

Если у вас есть признаки того, что узел ESXi был заражен вредоносным ПО ESXi, рассмотрите следующие меры:

  • Отключите зараженный узел ESXi от сети.
  • Не платите выкуп. Оплата выкупа поощряет киберпреступников и стимулирует их создавать больше вредоносных программ для получения большего количества денег. Если вы заплатите выкуп, нет гарантии, что файлы, поврежденные вредоносным ПО VMware ESXi, будут восстановлены.
  • Сообщите о случае вымогательства. Сообщение о случае вымогательства важно, поскольку оно позволяет быстро реагировать, соблюдать закон, защищать данные, сохранять доверие, смягчать угрозы и совместно защищаться от кибератак. Сообщение о случае вымогательства является основополагающей частью управления инцидентами кибербезопасности. Это не только помогает отдельным организациям восстановиться после атак, но и способствует общей безопасности и устойчивости цифрового экосистемы.
  • Проверьте, доступны ли средства восстановления или декрипции для текущей версии вредоносного ПО.
  • Если дешифровальных инструментов нет, восстановите данные из резервной копии (вам нужно иметь резервную копию, созданную до атаки расшифровального программного обеспечения, чтобы использовать этот метод). Иногда может быть более эффективным восстановить ВМ из резервной копии. Рассмотрите свежее установление ESXi и копирование восстановленных ВМ на этот свежий хост ESXi, чтобы убедиться, что на хосте, где размещены восстановленные ВМ, нет фрагментов заражения расшифровальным программным обеспечением.

Как защитить ESXi от расшифровального программного обеспечения

Следуйте рекомендациям ниже, чтобы защитить ESXi от расшифровального программного обеспечения:

  • Исправьте свои хосты ESXi, которые имеют уязвимости, такие как CVE-2021-21974, CVE-2022-31699, CVE-2021-21995, CVE-2020-3992 и CVE-2019-5544. Если версия вашего ESXi уже не поддерживается, рассмотрите возможность обновления до основной версии, которая поддерживается. Если вы не можете обновить ESXi, отключите OpenSLP (Service Location Protocol) на ESXi. Отключение службы, которая имеет уязвимость для уязвимой версии ESXi, также помогает.
  • Установите патчи безопасности (обновления) на хост ESXi регулярно, чтобы защититься от последних угроз.
  • Не подвергайте хосты ESXi интернету. Если процесс работы требует доступности хостов ESXi из интернета для сотрудников и партнеров, настройте сервер VPN и брандмауэр. Настройте брандмауэр так, чтобы разрешать доступ только с надежных IP-адресов. Подключение к сети через VPN для доступа к хостам ESXi является безопасным в этом случае.
  • Отключите доступ SSH, если он не нужен, или установите таймауты.
  • Отключите SMB v1.0 и другие устаревшие версии протоколов, особенно если они не используются.
  • Используйте сегментацию сети для сетей, включая управляющую сеть ESXi.
  • Используйте надежные пароли, состоящие не менее чем из 8 символов, включая строчные и прописные буквы, цифры и специальные символы.
  • Установите и настройте мониторинг инфраструктуры для контроля сетевого трафика и нагрузки серверов. Мониторинг позволяет своевременно обнаружить подозрительную или вредоносную активность.
  • Обучайте пользователей защите от вредоносных программ и убедитесь, что пользователи знают, что делать, если они подозревают, что произошло нападение или попытка нападения вредоносных программ.
  • Настройте защиту от вредоносных программ в электронной почте, так как отправка вредоносных ссылок или файлов через электронную почту является популярным методом заражения компьютеров вредоносными программами. Отключите активные гиперссылки в электронных письмах.
  • Установите антивирус на компьютерах пользователей и серверах. Регулярно обновляйте базы данных антивирусных программ для антивирусного программного обеспечения.
  • Регулярно резервируйте свои виртуальные машины и используйте стратегию резервного копирования 3-2-1. Не забудьте иметь неизменяемую резервную копию или резервную копию с воздушным зазором, чтобы обеспечить, что эта резервная копия не будет затронута в случае атаки вредоносным ПО. Иметь резервные копии ESXi и vCenter может помочь сэкономить время при восстановлении данных и рабочих нагрузок.
  • Подготовьте план реагирования на инциденты и дайте всем знать, что делать в случае атаки вредоносным ПО ESXi.
  • Создайте план восстановления после катастрофы, чтобы обеспечить возможность восстановления данных и восстановления рабочих нагрузок в различных сценариях. Тестирование резервных копий и тестирование восстановления после катастрофы важны.

Заключение

ESXi-вымогатель-это катастрофа, потому что вы можете потерять много ВМ, даже если один хост ESXi заражен. Резервное копирование данных-это наиболее эффективная стратегия, чтобы избежать потери данных в случае атаки вымогателя. Следуйте рекомендациям по защите ESXi от вымогателей, которые были описаны выше в этом блоге. Используйте NAKIVO Backup & Replication для резервного копирования ВМ, находящихся на хостах VMware ESXi, в неизменяемые репозитории. Таким образом, вы можете использовать эти устойчивые к вымогателям резервные копии для быстрого восстановления полных ВМ или приложений.

Source:
https://www.nakivo.com/blog/vmware-esxi-ransomware/