Python kodunun küçük parçası, hızlı ve kötü bir şekilde ortaya çıkıyor ve ilk ihlalden şifrelemeye kadar bir fidye yazılımı saldırısını tamamlamak üç saatten az sürüyor. Araştırmacılar, VMware ESXi sunucularını ve sanal makineleri (VM’ler) “keskin nişancı benzeri” bir hızla vuran, adı açıklanmayan bir çeteden yeni bir Python fidye yazılımı keşfettiler.
Sophos Salı günü yaptığı açıklamada, fidye yazılımının, bir ESXi hipervizöründe barındırılan VM’leri tehlikeye atmak ve şifrelemek için kullanıldığını, ilk ihlalden şifrelemeye kadar üç saatten az süren operasyonlarda kullanıldığını söyledi.
Sophos’un baş araştırmacısı Andrew Brandt, kapsamlı raporuna eşlik eden bir basın açıklamasında, “Bu, Sophos’un şimdiye kadar araştırdığı en hızlı fidye yazılımı saldırılarından biri ve ESXi platformunu hassas bir şekilde hedef alıyor gibi görünüyor” dedi.
Brandt, fidye yazılımı için kullanılan Python kodlama dilinin nadiren görüldüğünü belirtti. Ancak Python’un ESXi gibi Linux tabanlı sistemlere önceden yüklenmiş olarak geldiği ve dolayısıyla bu sistemlerde Python tabanlı saldırıları mümkün kıldığı göz önüne alındığında, kullanımının mantıklı olduğunu açıkladı.
VMware ESXi Hedeflemek Kolay
Fidye yazılımı için Python seçimi oldukça farklı olsa da, VMware ESXi sunucularının peşinden gitmek başka bir şey değil. Saldırganlar, sunuculara kolayca yüklenen ve bunları birden çok VM’ye bölen yalın bir hiper yönetici olan VMware’in ESXi’sini (eski adıyla ESX) severler.
Bu, birden fazla VM’nin aynı sabit sürücü depolamasını paylaşmasını kolaylaştırırken, saldırganlar VM’lerde veri depolamak için kullanılan merkezi sanal sabit sürücüleri şifreleyebildiğinden, sistemleri saldırılar için tek duraklı alışveriş noktaları haline getirir. Başka bir deyişle, bir vuruş, sanal makinelerin yığınlarını kilitler.
AT&T Cybersecurity’den Alien Labs , REvil fidye yazılımı tehdit aktörlerinin benzer şekilde VMware ESXi’yi ve ağa bağlı depolama (NAS) cihazlarını hedef alan bir Linux varyantı bulmasından kısa bir süre sonra, Temmuz ayında bunu böyle açıkladı.
O ayın ilerleyen saatlerinde HelloKitty , cazip hedefin peşinden giderek büyüyen fidye yazılımı bigwigs listesine katıldı. DarkSide ayrıca ESXi sunucularını da hedef aldı: Haziran ayında AT&T Alien Labs , önceki çeyrekte en aktif fidye yazılımlarından biri olarak adlandırdığı DarkSide fidye yazılımının Linux sürümünü analiz etti.
Kısacası, fidye yazılımı alanındaki herkes ESXi pwnage istiyor: Bu, slotlarda ikramiyeyi vurmak gibi.
Brandt, “ESXi sunucuları, fidye yazılımı tehdidi aktörleri için çekici bir hedefi temsil ediyor çünkü aynı anda birden fazla VM’ye saldırabiliyorlar ve her bir VM’nin iş açısından kritik öneme sahip uygulamaları veya hizmetleri çalıştırabileceği yerlerde,” dedi. “Hipervizörlere yönelik saldırılar hem hızlı hem de oldukça yıkıcı olabilir.”
Ezilmiş Bir Saldırı Zaman Çizelgesi
Sophos, yeni, süper hızlı Python komut dosyasıyla karşılaştığında bir fidye yazılımı saldırısını araştırıyordu. Saldırı, fidye yazılımı operatörlerinin yönetici erişimi olan ancak çok faktörlü kimlik doğrulaması (MFA) etkin olmayan bir kullanıcıya ait TeamViewer hesabına girdiği bir Pazar sabahı erken saatlerde – 12:30 – başladı. İşte takip edenlerin bir zaman çizelgesi:
12:40
On dakika sonra, saldırganlar keşif için Gelişmiş IP Tarayıcı aracını kullanarak ağ hedeflerini arıyorlardı. Sophos’un araştırmacıları, bir BT ekibinin komutlar ve güncellemeler için kullandığı aktif bir kabuğa sahip olduğu için ağın ESXi sunucusunun savunmasız olduğuna inanıyor. Sophos’un raporuna göre, ESXi sunucuları, yöneticilerin etkinleştirebileceği, ancak genellikle varsayılan olarak devre dışı bırakılan ESXi Shell adlı yerleşik bir SSH hizmetine sahiptir.
Brandt’in raporuna göre, “Bu kuruluşun BT personeli, sunucuyu yönetmek için ESXi Shell’i kullanmaya alışıktı ve saldırıdan önceki ay içinde kabuğu birden çok kez etkinleştirip devre dışı bırakmıştı”. “Ancak, kabuğu en son etkinleştirdiklerinde, daha sonra devre dışı bırakamadılar. Suçlular, merminin aktif olduğunu anlayınca bu tesadüfi durumdan faydalandı.”
02:00
Saldırganlar, Bitvise adlı bir SSH istemcisini indirdiler ve bunu Advanced IP Scanner kullanarak tanımladıkları bir VMware ESXi sunucusuna giriş yapmak için kullandılar.
3:30
Saldırganlar ağı taradıktan üç saat sonra, ESXi Shell’de oturum açmak için çalınan yönetici kimlik bilgilerini kullandılar. Brandt, ardından “fcker.py” adlı bir dosyayı hiper yönetici üzerinde çalışan VM’ler tarafından kullanılan sanal disk görüntülerini barındıran ESXi veri deposuna kopyaladılar.
Python betiği, sunucuda kurulu tüm VM’lerin adlarının bir listesini oluşturmak için ESXi Shell’in vim-cmd komut işlevlerini kullanır ve ardından hepsini kapatır, dedi. Yalnızca VM’lerin tümü kapatıldıktan sonra komut dosyası veri deposu birimlerini şifrelemeye başlayacaktır.
Ardından Python betiği, sanal makineleri birbiri ardına seçerek ilerler, diye anlattı Brandt: “Saldırganlar birer birer Python betiğini yürüttüler ve betiğin argümanı olarak veri deposu disk hacimlerine giden yolu ilettiler. Her bir birim, birden çok sanal makine için sanal disk ve VM ayarları dosyalarını içeriyordu.”
Fidye yazılımı parçacığı, şifrelediği her dosya için yalnızca tek bir talimat kullanır ve dosyaları şu komutla şifrelemek için OpenSSL açık kaynak aracını çağırır:
openssl rsautil -encrypt -inkey pubkey.txt -pubin -out [dosyaadı].txt
Sophos araştırmacıları, saldırganların dosyayı silmeden önce başka verilerle üzerine yazmış olmasına rağmen, Python betiğinin bir kopyasını ele geçirmeyi başardılar.
Brandt, “Son olarak, dizin listelerini içeren dosyaları, sanal makinelerin adlarını ve kendisini silmeden önce bu dosyaların üzerine yazarak siler” diye yazdı.
Bu VMware ESXi Bebek Python’un Keskin Dişleri Var
Sadece 6 KB ağırlığında, çok fazla hasar verebilecek küçük bir şey.
Brandt, “Komut dosyası, saldırganın birden fazla şifreleme anahtarı, e-posta adresi ile yapılandırabileceği ve şifrelenmiş dosyalara eklenen dosya son ekini özelleştirebilecekleri değişkenler içeriyor” diye yazdı. Spesifik olarak, Python betiği değişkenler olarak, şifrelenmiş dosyalara (dahili) eklediği dosya son ekini ve fidyenin ödenmesi için saldırganla iletişim kurmak için kullanılacak e-posta adreslerini (posta, posta2) gömer.
Ayrıca aşağıda gösterilen fidye notu metnini de gömer.
Şifreleme Anahtarları-R-Us
Sophos araştırmacıları, kodu incelerken, birden fazla sabit kodlanmış şifreleme anahtarının yanı sıra daha da fazla şifreleme anahtarı çifti oluşturmak için bir rutin kaydetti.
“Normalde, bir saldırganın yalnızca kendi makinesinde oluşturduğu ‘ortak anahtarı’ yerleştirmesi gerekir ve hedeflenen bilgisayardaki/bilgisayarlardaki dosyaları şifrelemek için kullanılır” dedi. “Ancak bu fidye yazılımı her çalıştırıldığında benzersiz bir anahtar oluşturuyor gibi görünüyor.” dedi Brandt.
Saldırganların, şifrelemek istedikleri her ESXi veri deposu için komut dosyasını bir kez çalıştırdıkları ortaya çıktı. Komut dosyası her yürütüldüğünde, dosyaları şifrelemek için benzersiz bir anahtar çifti oluşturdu. Sophos’un araştırdığı durumda, saldırganlar her seferinde betiğin ayrı ayrı çalıştırılmasıyla üç veri deposunu hedef aldı, “böylece komut dosyası, her veri deposu için bir tane olmak üzere üç benzersiz anahtar çifti oluşturdu”.
Yine de, senaryonun onları herhangi bir yere iletme yeteneği olmadığı göz önüne alındığında, bu anahtarlar hiçbir yere gitmiyordu. Ancak saldırganlar onları, kurbanların bir kuruş ödemeden kilitli dosyalarının şifresini çözmek için kullanabilecekleri bir yerde oturmak istemediler, bu yüzden komut dosyası gizli anahtarın bir kopyasını yazdı, ardından gömülü anahtarı kullanarak şifreledi, sabit kodlanmış ortak anahtar.
Rapor, “Komut dosyası, yürütme sırasında komut dosyasına sağlanan yoldaki tüm dosyaları listeleyen bir rutin çalıştırır” diye devam etti. “Her dosya için komut dosyası, aeskey olarak adlandırdığı 32 baytlık benzersiz bir rastgele kod oluşturur ve ardından aeskey’i /tmp yoluna bir tuz olarak kullanarak dosyayı şifreler. Son olarak, şifrelenmiş dosyanın başına aeskey değerini ekler ve isme yeni bir dosya son eki ekler, orijinal dosyanın içeriğinin üzerine fuck sözcüğünü yazar, ardından orijinal dosyayı siler ve şifrelenmiş sürümü /tmp’den veri deposu konumuna taşır. orijinal dosyanın saklandığı yer.”
VMware ESXi Sunucularında Uç Nokta Koruması Eksik
Brandt, VMware ESXi gibi sistemleri hedeflemek için kullanılabilecek kötü amaçlı yazılımların Linux çeşitleri hala “nispeten nadir” olsa da, bu tür sunucularda uç nokta koruması daha da nadirdir, dedi Brandt.
VMware ESXi veya diğer hipervizörleri güçlendirmek için aşağıdakiler gibi standart güvenlik en iyi uygulamaları dahil tavsiyelerde bulundu:
- Parola yeniden kullanımından kaçınma
- Yeterli uzunlukta karmaşık, kaba kuvvetle zorlanan parolalar kullanmak.
- Mümkün olan her yerde MFA kullanımını etkinleştirme ve etki alanı yöneticileri gibi yüksek izinlere sahip hesaplar için bunu zorunlu kılma.
- Shell’in kullanılmadığı zamanlarda kapatılması.
Brandt, “ESXi durumunda, ESXi Shell’in kullanımı, makinedeki fiziksel bir konsoldan veya VMware tarafından sağlanan normal yönetim araçları aracılığıyla açılıp kapatılabilen bir şeydir,” diye tavsiyede bulundu. “Yöneticiler Shell’in yalnızca personel tarafından kullanım sırasında aktif olmasına izin vermeli ve bakım tamamlanır tamamlanmaz onu devre dışı bırakmalıdır. Örneğin:yamaların kurulumu gibi”