امنیت
موضوعات داغ

نفوذ باج‌‌افزارها به محیط مجازی

گرچه مجازی‌سازی به طور قابل‌ملاحظه‌ای برخی ریسک‌های تهدید سایبری را کاهش داده است؛ اما نمی‌تواند علاج همه‌چیز باشد. یک‌حمله‌ی باج‌افزاری هنوز هم می‌تواند بعنوان مثال از طریق نسخه‌های آسیب‌پذیر VMware ESXi زیرساخت‌های مجازی را مورد هدف بگیرد.

استفاده از ماشین‌های مجازی روشی قوی و امن است. برای مثال، استفاده از VM می‌تواند آسیب‌های ابتلا را اگر ماشین مجازی هیچ اطلاعات حساسی در خود نداشته باشد تخفیف دهد. حتی اگر کاربری به طور تصادفی تروجانی را روی ماشین مجازی فعال کند، صِرف نصب ساده ‌یک ماشین مجازی هر تغییرات آلوده و مخرب را معکوس می‌کند. با این همه، باج‌افزار RansomExx به طور خاص آسیب‌پذیری‌های داخل VMware ESXi  را هدف می‌گیرد تا به هارد دیسک‌های مجازی حمله کند. بر اساس گزارشات گروه Darkside از همین روش استفاده می‌کند و سازندگان  BabukLocker Trojan اشاره کرده‌اند که می‌توانند ESXi را رمزگذاری کنند.

این آسیب‌پذیری‌ها چه هستند؟

هایپروایزر[2]  VMware ESXiبه چندین ماشین مجازی اجازه می‌دهد تا روی یک سرور واحد آن هم از طریق Open SLP (پروتکل Service Layer) اطلاعات را ذخیره کنند. همین –از بین کلی دلایل دیگر- می‌تواند موجب شود دستگاه‌های شبکه بدون تنظیمات پیشین شناسایی شوند. دو آسیب‌پذیری مربوطه CVE-2019-5544 و CVE-2020-3992 نام دارند و هر دو کهنه‌کارند؛ از این رو برای مجرمان سایبری تازگی‌ای ندارند. اولی برای اجرای حملات سرریز هیپ[3] مورد استفاده قرار می‌گیرد و دومی از نوع Use-After-Free است؛ که به کاربرد ناصحیح مموری دینامیک در طول عملیات مربوط می‌شود. هر دو آسیب‌پذیری‌ها چندی پیش بسته شدند (اولی در سال 2019 و دومی در سال 2020) اما در سال 2021 مجرمان سایبری هنوز هم دارند از طریق آن‌ها حملات موفقی را پیش می‌برند. طبق معمول، این بدان معناست که برخی از سازمان‌ها هنوز نرم‌افزارهای خود را آپدیت نکرده‌اند.

 چطور مهاجمین آسیب‌پذیری‌های  ESXi را اکسپلویت می‌کنند؟

میزبان هاست سوشال

مهاجمین می‌توانند از این آسیب‌پذیری‌ها برای تولید درخواست‌های آلوده‌ی SLP و دستکاری ذخیره‌گاه داده‌ها استفاده کنند. البته برای رمزگذاری اطلاعات ابتدا به ساکن باید به شبکه رخنه کنند. این کار برای مهاجمین هیچ کاری ندارد؛ خصوصاً اگر ماشین مجازی راهکار امنیتی اجرا نکرده باشد. اپراتورهای RansomExx برای در دست گرفتن سیستم برای مثال می‌توانند از آسیب‌پذیری Zerologon (در پروتکل Netlogon Remote) استفاده کنند. بدین‌معنا که آن‌ها کاربر را فریب می‌دهند تا کد مخربی را روی ماشین مجازی اجرا کنند. آنوقت است که مجرمان کنترلر Active Directory  را در دست می‌گیرند و درست در همین زمان است که شروع می‌کنند به رمزگذاری ذخیره‌گاه و گذاشتن پیغام باج. این را هم بگوییم که Zerologon تنها گزینه نیست؛ فقط می‌شود اسمش را گذاشت یکی از خطرناک‌ترین گزینه‌ها. دلیلش هم این است که اکسپلویت کردنش را تقریباً به هیچ‌وجه نمی‌شود تشخیص داد مگر با سرویس‌های ویژه.

 راهکارهای امنیتی

  • VMware ESXi را آپدیت کنید.
  • چنانچه آپدیت در واقع غیرممکن است از راهکار پیشنهادی خودِ VMware استفاده کنید (اما در نظر داشته باشید که این متود برخی از قابلیت‌های SLP را محدود خواهد کرد).
  • همه ماشین‌های روی شبکه اینترنتی را آپدیت کنید؛ از جمله ماشین‌های مجازی.
  • از همه ماشین‌های روی شبکه‌ی خود از جمله ماشین‌های مجازی محافظت کنید.
  • از راهکار Managed Detection and Response استفاده کنید که حتی پیچیده‌ترین حملات چندمرحله‌ای را -که راهکارهای معمول آنتی‌ویروس قادر به رؤیت آن‌ها نیستند-شناسایی می‌کند.

امتیاز این نوشته

امتیاز

امتیاز کاربران: 3.76 ( 5 رای)

مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا