نفوذ باج‌‌افزارها به محیط مجازی

17 فروردین 1400 نفوذ باج‌‌افزارها به محیط مجازی

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  گرچه مجازی‌سازی[1] به طور قابل‌ملاحظه‌ای برخی ریسک‌های تهدید سایبری را کاهش داده است؛ اما نمی‌تواند علاج همه‌چیز باشد. یک‌حمله‌ی باج‌افزاری هنوز هم می‌تواند بعنوان مثال از طریق نسخه‌های آسیب‌پذیر VMware ESXi زیرساخت‌های مجازی را مورد هدف بگیرد. استفاده از ماشین‌های مجازی روشی قوی و امن است. برای مثال، استفاده از VM می‌تواند آسیب‌های ابتلا را اگر ماشین مجازی هیچ اطلاعات حساسی در خود نداشته باشد تخفیف دهد. حتی اگر کاربری به طور تصادفی تروجانی را روی ماشین مجازی فعال کند، صِرف نصب ساده ‌یک ماشین مجازی هر تغییرات آلوده و مخرب را معکوس می‌کند. با این همه، باج‌افزار RansomExx به طور خاص آسیب‌پذیری‌های داخل VMware ESXi  را هدف می‌گیرد تا به هارد دیسک‌های مجازی حمله کند. بر اساس گزارشات گروه Darkside از همین روش استفاده می‌کند و سازندگان  BabukLocker Trojan اشاره کرده‌اند که می‌توانند ESXi را رمزگذاری کنند.

این آسیب‌پذیری‌ها چه هستند؟

هایپروایزر[2]  VMware ESXiبه چندین ماشین مجازی اجازه می‌دهد تا روی یک سرور واحد آن هم از طریق Open SLP (پروتکل Service Layer) اطلاعات را ذخیره کنند. همین –از بین کلی دلایل دیگر- می‌تواند موجب شود دستگاه‌های شبکه بدون تنظیمات پیشین شناسایی شوند. دو آسیب‌پذیری مربوطه CVE-2019-5544 و CVE-2020-3992 نام دارند و هر دو کهنه‌کارند؛ از این رو برای مجرمان سایبری تازگی‌ای ندارند. اولی برای اجرای حملات سرریز هیپ[3] مورد استفاده قرار می‌گیرد و دومی از نوع Use-After-Free است؛ که به کاربرد ناصحیح مموری دینامیک در طول عملیات مربوط می‌شود. هر دو آسیب‌پذیری‌ها چندی پیش بسته شدند (اولی در سال 2019 و دومی در سال 2020) اما در سال 2021 مجرمان سایبری هنوز هم دارند از طریق آن‌ها حملات موفقی را پیش می‌برند. طبق معمول، این بدان معناست که برخی از سازمان‌ها هنوز نرم‌افزارهای خود را آپدیت نکرده‌اند.

 چطور مهاجمین آسیب‌پذیری‌های  ESXi را اکسپلویت می‌کنند؟

مهاجمین می‌توانند از این آسیب‌پذیری‌ها برای تولید درخواست‌های آلوده‌ی SLP و دستکاری ذخیره‌گاه داده‌ها استفاده کنند. البته برای رمزگذاری اطلاعات ابتدا به ساکن باید به شبکه رخنه کنند. این کار برای مهاجمین هیچ کاری ندارد؛ خصوصاً اگر ماشین مجازی راهکار امنیتی اجرا نکرده باشد. اپراتورهای RansomExx برای در دست گرفتن سیستم برای مثال می‌توانند از آسیب‌پذیری Zerologon (در پروتکل Netlogon Remote) استفاده کنند. بدین‌معنا که آن‌ها کاربر را فریب می‌دهند تا کد مخربی را روی ماشین مجازی اجرا کنند. آنوقت است که مجرمان کنترلر Active Directory  را در دست می‌گیرند و درست در همین زمان است که شروع می‌کنند به رمزگذاری ذخیره‌گاه و گذاشتن پیغام باج. این را هم بگوییم که Zerologon تنها گزینه نیست؛ فقط می‌شود اسمش را گذاشت یکی از خطرناک‌ترین گزینه‌ها. دلیلش هم این است که اکسپلویت کردنش را تقریباً به هیچ‌وجه نمی‌شود تشخیص داد مگر با سرویس‌های ویژه.

 راهکارهای امنیتی

  •         VMware ESXi را آپدیت کنید.
  •         چنانچه آپدیت در واقع غیرممکن است از راهکار پیشنهادی خودِ VMware استفاده کنید (اما در نظر داشته باشید که این متود برخی از قابلیت‌های SLP را محدود خواهد کرد).
  •         همه ماشین‌های روی شبکه اینترنتی را آپدیت کنید؛ از جمله ماشین‌های مجازی.
  •         از همه ماشین‌های روی شبکه‌ی خود از جمله ماشین‌های مجازی محافظت کنید.
  •         از راهکار Managed Detection and Response استفاده کنید که حتی پیچیده‌ترین حملات چندمرحله‌ای را -که راهکارهای معمول آنتی‌ویروس قادر به رؤیت آن‌ها نیستند-شناسایی می‌کند.

 

 

[1] virtualization

[2] یا ناظر ارشد یا فراناظر ماشین مجازی (به انگلیسی: virtual machine monitor (VMM)) نوعی برنامه کامپیوتری است که اجازه ساخت و اجرای ماشین‌های مجازی را می‌دهد. در واقع با توجه به اینکه اصطلاح هایپروایزر برگرفته از سوپروایزر می باشد و از لحاظ مفهوم هایپر بالاتر از سوپر است، در نتیجه هایپروایزر ناظری بر یک ناظر دیگر شناخته می شود.

[3] heap overflow، یک نوع سرریز بافر می‌باشد که در ناحیهٔ داده‌های هیپ رخ می‌دهد. سرریز هیپ به شیوه‌های متفاوت بنابر سرریزهای مبتنی بر استک بهره‌برداری (استخراج) می‌شود. حافظه در هیپ به صورت پویا در زمان اجرا توسط برنامه تخصیص داده می‌شود و به‌طور کلی شامل داده‌های برنامه می‌باشد. استثمار با تخریب کردن داده‌ها در روش‌های خاص برای ایجاد برنامه‌های کاربردی به منظور بازنویسی ساختارهای داخلی مثل اشاره گر لیست پیوندی انجام می‌شود. تکنیک سرریز هیپ استاندارد، بر روی حافظهٔ پویایی که به صورت پیوندی اختصاص داده می‌شود (مانند داده‌های متا) رونویسی می‌شود و با استفاده از نتایج معاوضهٔ اشاره گر، یک اشاره گر تابع برنامه را بازنویسی می‌کند.



منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

 

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد