نفوذ باج‌‌افزارها به محیط مجازی

۱۴۰۰/۱/۱۷امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ گرچه مجازی‌سازی[1] به طور قابل‌ملاحظه‌ای برخی ریسک‌های تهدید سایبری را کاهش داده است؛ اما نمی‌تواند علاج همه‌چیز باشد. یک‌حمله‌ی باج‌افزاری هنوز هم می‌تواند بعنوان مثال از طریق نسخه‌های آسیب‌پذیر VMware ESXi زیرساخت‌های مجازی را مورد هدف بگیرد. استفاده از ماشین‌های مجازی روشی قوی و امن است. برای مثال، استفاده از VM می‌تواند آسیب‌های ابتلا را اگر ماشین مجازی هیچ اطلاعات حساسی در خود نداشته باشد تخفیف دهد. حتی اگر کاربری به طور تصادفی تروجانی را روی ماشین مجازی فعال کند، صِرف نصب ساده‌یک ماشین مجازی هر تغییرات آلوده و مخرب را معکوس می‌کند. با این همه، باج‌افزار RansomExx به طور خاص آسیب‌پذیری‌های داخل VMware ESXi  را هدف می‌گیرد تا به هارد دیسک‌های مجازی حمله کند. بر اساس گزارشات گروه Darkside از همین روش استفاده می‌کند و سازندگان  BabukLocker Trojan اشاره کرده‌اند که می‌توانند ESXi را رمزگذاری کنند.

این آسیب‌پذیری‌ها چه هستند؟

هایپروایزر[2]  VMware ESXiبه چندین ماشین مجازی اجازه می‌دهد تا روی یک سرور واحد آن هم از طریق Open SLP (پروتکل Service Layer) اطلاعات را ذخیره کنند. همین –از بین کلی دلایل دیگر- می‌تواند موجب شود دستگاه‌های شبکه بدون تنظیمات پیشین شناسایی شوند. دو آسیب‌پذیری مربوطه CVE-2019-5544 و CVE-2020-3992 نام دارند و هر دو کهنه‌کارند؛ از این رو برای مجرمان سایبری تازگی‌ای ندارند. اولی برای اجرای حملات سرریز هیپ[3] مورد استفاده قرار می‌گیرد و دومی از نوع Use-After-Free است؛ که به کاربرد ناصحیح مموری دینامیک در طول عملیات مربوط می‌شود. هر دو آسیب‌پذیری‌ها چندی پیش بسته شدند (اولی در سال 2019 و دومی در سال 2020) اما در سال 2021 مجرمان سایبری هنوز هم دارند از طریق آن‌ها حملات موفقی را پیش می‌برند. طبق معمول، این بدان معناست که برخی از سازمان‌ها هنوز نرم‌افزارهای خود را آپدیت نکرده‌اند.

 چطور مهاجمین آسیب‌پذیری‌های  ESXi را اکسپلویت می‌کنند؟

مهاجمین می‌توانند از این آسیب‌پذیری‌ها برای تولید درخواست‌های آلوده‌ی SLP و دستکاری ذخیره‌گاه داده‌ها استفاده کنند. البته برای رمزگذاری اطلاعات ابتدا به ساکن باید به شبکه رخنه کنند. این کار برای مهاجمین هیچ کاری ندارد؛ خصوصاً اگر ماشین مجازی راهکار امنیتی اجرا نکرده باشد. اپراتورهای RansomExx برای در دست گرفتن سیستم برای مثال می‌توانند از آسیب‌پذیری Zerologon (در پروتکل Netlogon Remote) استفاده کنند. بدین‌معنا که آن‌ها کاربر را فریب می‌دهند تا کد مخربی را روی ماشین مجازی اجرا کنند. آنوقت است که مجرمان کنترلر Active Directory  را در دست می‌گیرند و درست در همین زمان است که شروع می‌کنند به رمزگذاری ذخیره‌گاه و گذاشتن پیغام باج. این را هم بگوییم که Zerologon تنها گزینه نیست؛ فقط می‌شود اسمش را گذاشت یکی از خطرناک‌ترین گزینه‌ها. دلیلش هم این است که اکسپلویت کردنش را تقریباً به هیچ‌وجه نمی‌شود تشخیص داد مگر با سرویس‌های ویژه.

 راهکارهای امنیتی

  • VMware ESXi را آپدیت کنید.
  • چنانچه آپدیت در واقع غیرممکن است از راهکار پیشنهادی خودِ VMware استفاده کنید (اما در نظر داشته باشید که این متود برخی از قابلیت‌های SLP را محدود خواهد کرد).
  • همه ماشین‌های روی شبکه اینترنتی را آپدیت کنید؛ از جمله ماشین‌های مجازی.
  • از همه ماشین‌های روی شبکه‌ی خود از جمله ماشین‌های مجازی محافظت کنید.

از راهکار Managed Detection and Response استفاده کنید که حتی پیچیده‌ترین حملات چندمرحله‌ای را -که راهکارهای معمول آنتی‌ویروس قادر به رؤیت آن‌ها نیستند-شناسایی می‌کند.

[1] virtualization

[2] یا ناظر ارشد یا فراناظر ماشین مجازی (به انگلیسی: virtual machine monitor (VMM)) نوعی برنامه کامپیوتری است که اجازه ساخت و اجرای ماشین‌های مجازی را می‌دهد. در واقع با توجه به اینکه اصطلاح هایپروایزر برگرفته از سوپروایزر می باشد و از لحاظ مفهوم هایپر بالاتر از سوپر است، در نتیجه هایپروایزر ناظری بر یک ناظر دیگر شناخته می شود.

[3] heap overflow، یک نوع سرریز بافر می‌باشد که در ناحیهٔ داده‌های هیپ رخ می‌دهد. سرریز هیپ به شیوه‌های متفاوت بنابر سرریزهای مبتنی بر استک بهره‌برداری (استخراج) می‌شود. حافظه در هیپ به صورت پویا در زمان اجرا توسط برنامه تخصیص داده می‌شود و به‌طور کلی شامل داده‌های برنامه می‌باشد. استثمار با تخریب کردن داده‌ها در روش‌های خاص برای ایجاد برنامه‌های کاربردی به منظور بازنویسی ساختارهای داخلی مثل اشاره گر لیست پیوندی انجام می‌شود. تکنیک سرریز هیپ استاندارد، بر روی حافظهٔ پویایی که به صورت پیوندی اختصاص داده می‌شود (مانند داده‌های متا) رونویسی می‌شود و با استفاده از نتایج معاوضهٔ اشاره گر، یک اشاره گر تابع برنامه را بازنویسی می‌کند.

 

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.