نفوذ باج‌‌افزارها به محیط مجازی

17 فروردین 1400 نفوذ باج‌‌افزارها به محیط مجازی

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  گرچه مجازی‌سازی[1] به طور قابل‌ملاحظه‌ای برخی ریسک‌های تهدید سایبری را کاهش داده است؛ اما نمی‌تواند علاج همه‌چیز باشد. یک‌حمله‌ی باج‌افزاری هنوز هم می‌تواند بعنوان مثال از طریق نسخه‌های آسیب‌پذیر VMware ESXi زیرساخت‌های مجازی را مورد هدف بگیرد. استفاده از ماشین‌های مجازی روشی قوی و امن است. برای مثال، استفاده از VM می‌تواند آسیب‌های ابتلا را اگر ماشین مجازی هیچ اطلاعات حساسی در خود نداشته باشد تخفیف دهد. حتی اگر کاربری به طور تصادفی تروجانی را روی ماشین مجازی فعال کند، صِرف نصب ساده ‌یک ماشین مجازی هر تغییرات آلوده و مخرب را معکوس می‌کند. با این همه، باج‌افزار RansomExx به طور خاص آسیب‌پذیری‌های داخل VMware ESXi  را هدف می‌گیرد تا به هارد دیسک‌های مجازی حمله کند. بر اساس گزارشات گروه Darkside از همین روش استفاده می‌کند و سازندگان  BabukLocker Trojan اشاره کرده‌اند که می‌توانند ESXi را رمزگذاری کنند.

این آسیب‌پذیری‌ها چه هستند؟

هایپروایزر[2]  VMware ESXiبه چندین ماشین مجازی اجازه می‌دهد تا روی یک سرور واحد آن هم از طریق Open SLP (پروتکل Service Layer) اطلاعات را ذخیره کنند. همین –از بین کلی دلایل دیگر- می‌تواند موجب شود دستگاه‌های شبکه بدون تنظیمات پیشین شناسایی شوند. دو آسیب‌پذیری مربوطه CVE-2019-5544 و CVE-2020-3992 نام دارند و هر دو کهنه‌کارند؛ از این رو برای مجرمان سایبری تازگی‌ای ندارند. اولی برای اجرای حملات سرریز هیپ[3] مورد استفاده قرار می‌گیرد و دومی از نوع Use-After-Free است؛ که به کاربرد ناصحیح مموری دینامیک در طول عملیات مربوط می‌شود. هر دو آسیب‌پذیری‌ها چندی پیش بسته شدند (اولی در سال 2019 و دومی در سال 2020) اما در سال 2021 مجرمان سایبری هنوز هم دارند از طریق آن‌ها حملات موفقی را پیش می‌برند. طبق معمول، این بدان معناست که برخی از سازمان‌ها هنوز نرم‌افزارهای خود را آپدیت نکرده‌اند.

 چطور مهاجمین آسیب‌پذیری‌های  ESXi را اکسپلویت می‌کنند؟

مهاجمین می‌توانند از این آسیب‌پذیری‌ها برای تولید درخواست‌های آلوده‌ی SLP و دستکاری ذخیره‌گاه داده‌ها استفاده کنند. البته برای رمزگذاری اطلاعات ابتدا به ساکن باید به شبکه رخنه کنند. این کار برای مهاجمین هیچ کاری ندارد؛ خصوصاً اگر ماشین مجازی راهکار امنیتی اجرا نکرده باشد. اپراتورهای RansomExx برای در دست گرفتن سیستم برای مثال می‌توانند از آسیب‌پذیری Zerologon (در پروتکل Netlogon Remote) استفاده کنند. بدین‌معنا که آن‌ها کاربر را فریب می‌دهند تا کد مخربی را روی ماشین مجازی اجرا کنند. آنوقت است که مجرمان کنترلر Active Directory  را در دست می‌گیرند و درست در همین زمان است که شروع می‌کنند به رمزگذاری ذخیره‌گاه و گذاشتن پیغام باج. این را هم بگوییم که Zerologon تنها گزینه نیست؛ فقط می‌شود اسمش را گذاشت یکی از خطرناک‌ترین گزینه‌ها. دلیلش هم این است که اکسپلویت کردنش را تقریباً به هیچ‌وجه نمی‌شود تشخیص داد مگر با سرویس‌های ویژه.

 راهکارهای امنیتی

  •         VMware ESXi را آپدیت کنید.
  •         چنانچه آپدیت در واقع غیرممکن است از راهکار پیشنهادی خودِ VMware استفاده کنید (اما در نظر داشته باشید که این متود برخی از قابلیت‌های SLP را محدود خواهد کرد).
  •         همه ماشین‌های روی شبکه اینترنتی را آپدیت کنید؛ از جمله ماشین‌های مجازی.
  •         از همه ماشین‌های روی شبکه‌ی خود از جمله ماشین‌های مجازی محافظت کنید.
  •         از راهکار Managed Detection and Response استفاده کنید که حتی پیچیده‌ترین حملات چندمرحله‌ای را -که راهکارهای معمول آنتی‌ویروس قادر به رؤیت آن‌ها نیستند-شناسایی می‌کند.

 

 

[1] virtualization

[2] یا ناظر ارشد یا فراناظر ماشین مجازی (به انگلیسی: virtual machine monitor (VMM)) نوعی برنامه کامپیوتری است که اجازه ساخت و اجرای ماشین‌های مجازی را می‌دهد. در واقع با توجه به اینکه اصطلاح هایپروایزر برگرفته از سوپروایزر می باشد و از لحاظ مفهوم هایپر بالاتر از سوپر است، در نتیجه هایپروایزر ناظری بر یک ناظر دیگر شناخته می شود.

[3] heap overflow، یک نوع سرریز بافر می‌باشد که در ناحیهٔ داده‌های هیپ رخ می‌دهد. سرریز هیپ به شیوه‌های متفاوت بنابر سرریزهای مبتنی بر استک بهره‌برداری (استخراج) می‌شود. حافظه در هیپ به صورت پویا در زمان اجرا توسط برنامه تخصیص داده می‌شود و به‌طور کلی شامل داده‌های برنامه می‌باشد. استثمار با تخریب کردن داده‌ها در روش‌های خاص برای ایجاد برنامه‌های کاربردی به منظور بازنویسی ساختارهای داخلی مثل اشاره گر لیست پیوندی انجام می‌شود. تکنیک سرریز هیپ استاندارد، بر روی حافظهٔ پویایی که به صورت پیوندی اختصاص داده می‌شود (مانند داده‌های متا) رونویسی می‌شود و با استفاده از نتایج معاوضهٔ اشاره گر، یک اشاره گر تابع برنامه را بازنویسی می‌کند.



منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

 

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    8,817,200 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    2,937,200 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    4,702,880 ریال11,757,200 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    4,407,200 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    4,407,200 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    5,877,200 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    10,584,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد