باج افزار در یک محیط مجازی

چندین گروه مجرمان اینترنتی از آسیب پذیری های VMware ESXi برای آلوده کردن رایانه ها به باج افزار استفاده کرده اند.

اگرچه برخی از خطرات مربوط به حملات سایبری را به میزان قابل توجهی کاهش می دهد ، اما مجازی سازی بیش از هر عمل دیگری یک دارو نیست. همانطور که ZDNet اخیراً گزارش داد ، به عنوان مثال از طریق نسخه های آسیب پذیر VMware ESXi ، یک حمله باج افزار همچنان می تواند زیرساخت های مجازی را تحت تأثیر قرار دهد.

استفاده از ماشین های مجازی امروزه خیلی مهم و ایمن است. به عنوان مثال ، اگر ماشین مجازی هیچ گونه اطلاعات حساس را در اختیار نداشته باشد ، می تواند آسیب مربوط به حمله های سایبری را کاهش دهد. حتی اگر کاربر به طور تصادفی یک Trojan را بر روی یک ماشین مجازی فعال کند ، نصب سریع یک نسخه تازه از ماشین مجازی هرگونه تغییر مخرب را برعکس می کند.

با این حال ، باج افزار RansomExx به طور خاص آسیب پذیری های VMware ESXi را برای حمله به دیسک های سخت مجازی هدف قرار می دهد. گزارش شده است که گروه Darkside از همین روش استفاده می کنند و سازندگان BabukLocker Trojan از حمله و رمزگذاری ESXi خبر می دهند.

 

هشدار سازمان NSA در خصوص سوء استفاده هکرهای روسی از نقص امنیتی VMWARE

آسیب پذیری ها چیست؟

Hypervisor VMware ESXi به چندین ماشین مجازی اجازه می دهد تا اطلاعات را در یک سرور از طریق Open SLP (پروتکل لایه سرویس) ذخیره کنند ، که از جمله می تواند دستگاه های شبکه را بدون تنظیم مجدد تنظیم کند. دو آسیب پذیری مورد بحث CVE-2019-5544 و CVE-2020-3992 هستند که هر دو دارای زمان سنجی هستند و بنابراین برای مجرمان سایبری جدید نیستند. اولین مورد برای انجام حملات سرریز heap استفاده می شود ، و دوم از نوع Use-After-Free است – یعنی مربوط به استفاده نادرست از حافظه دینامیکی در حین کار است.

مدتی پیش هر دو آسیب پذیری بسته شدند (اولین مورد در سال 2019 ، دومین مورد در سال 2020) ، اما در سال 2021 ، مجرمان همچنان از طریق آنها حملات موفقیت آمیزی را انجام می دهند. طبق معمول ، این بدان معناست که برخی از سازمان ها نرم افزار خود را به روز نکرده اند.
چگونه سو male استفاده کنندگان از آسیب پذیری های ESXi سو استفاده می کنند

مهاجمان می توانند از آسیب پذیری ها برای ایجاد درخواستهای SLP مخرب و ذخیره سازی اطلاعات استفاده کنند. برای رمزگذاری اطلاعاتی که ابتدا به آنها نیاز دارند ، البته ، برای نفوذ به شبکه و جایگاه خود در آنجا. این مشکل بزرگی نیست ، به خصوص اگر ماشین مجازی از راه حل امنیتی استفاده نکند.

برای نفوذ در سیستم ، اپراتورهای RansomExx می توانند به عنوان مثال از آسیب پذیری Zerologon (در پروتکل راه دور Netlogon) استفاده کنند. یعنی ، آنها یک کاربر را فریب می دهند تا کد مخربی را روی ماشین مجازی اجرا کند ، سپس کنترل کنترلر Active Directory را به دست می گیرند و پس از آن حافظه را رمزگذاری می کنند و یک یادداشت باج را پشت سر می گذارند.

اتفاقاً ، Zero logon تنها گزینه نیست ، فقط یکی از خطرناکترین گزینه ها است زیرا تقریباً بدون خدمات ویژه شناسایی بهره برداری از آن غیرممکن است.

هکرها در حال یافتن سرورهای vcenter آسیب پذیر هستند CVE-2021-21972

چگونه از حملات به ESXi محافظت کنیم؟

VMware ESXi را به روز کنید
اگر به روزرسانی کاملاً غیرممکن است ، از راه حل پیشنهادی VMware استفاده کنید (اما توجه داشته باشید که این روش برخی از ویژگی های SLP را محدود می کند).
Microsoft Netlogon را به روز کنید تا این آسیب پذیری را نیز اصلاح کنید.
از تمام ماشین های موجود در شبکه ، از جمله ماشین های مجازی ، محافظت کنید.
از Managed Detection and Response استفاده کنید که حتی حملات پیچیده چند مرحله ای را که برای راه حلهای معمول ضد ویروس قابل مشاهده نیستند ، شناسایی می کند.

لینک مطلب

 

آسیب پذیری zerologon چیست؟

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

*

code