Οι ηθοποιοί ransomware που στοχεύουν υπερεπόπτες γυμνού μετάλλου ESXi αξιοποιούν τη σήραγγα SSH για να επιμείνουν στο σύστημα ενώ παραμένουν απαρατήρητοι.
Οι συσκευές VMware ESXi διαδραματίζουν κρίσιμο ρόλο σε εικονικά περιβάλλοντα, καθώς μπορούν να εκτελούνται σε έναν μόνο φυσικό διακομιστή πολλαπλές εικονικές μηχανές ενός οργανισμού.
Σε μεγάλο βαθμό δεν παρακολουθούνται και έχουν γίνει στόχος χάκερ που θέλουν να έχουν πρόσβαση σε εταιρικά δίκτυα όπου μπορούν να κλέψουν δεδομένα και να κρυπτογραφήσουν αρχεία, ακρωτηριάζοντας έτσι μια ολόκληρη επιχείρηση καθιστώντας όλες τις εικονικές μηχανές απρόσιτες.
Η εταιρεία κυβερνοασφάλειας Sygnia αναφέρει ότι σε πολλές περιπτώσεις ο συμβιβασμός επιτυγχάνεται με την εκμετάλλευση γνωστών ελαττωμάτων ή τη χρήση παραβιασμένων διαπιστευτηρίων διαχειριστή.
SSH στον hypervisor
Το ESXi διαθέτει μια ενσωματωμένη υπηρεσία SSH που επιτρέπει στους διαχειριστές να διαχειρίζονται εξ αποστάσεως τον hypervisor μέσω ενός κελύφους.
Η Sygnia λέει ότι οι φορείς ransomware κάνουν κατάχρηση αυτής της δυνατότητας για να εδραιώσουν την επιμονή, να μετακινηθούν πλευρικά και να αναπτύξουν ωφέλιμα φορτία ransomware. Δεδομένου ότι πολλοί οργανισμοί δεν παρακολουθούν ενεργά τη δραστηριότητα του ESXi SSH, οι εισβολείς μπορούν να το χρησιμοποιήσουν κρυφά.
“Μια φορά [the hackers are] στη συσκευή, η ρύθμιση του tunneling είναι μια απλή εργασία χρησιμοποιώντας την εγγενή λειτουργικότητα SSH ή με την ανάπτυξη άλλων κοινών εργαλείων με παρόμοιες δυνατότητες. εξηγεί η Sygnia.
«Για παράδειγμα, χρησιμοποιώντας το δυαδικό SSH, μια απομακρυσμένη προώθηση θύρας στον διακομιστή C2 μπορεί εύκολα να ρυθμιστεί χρησιμοποιώντας την ακόλουθη εντολή: ssh –fN -R 127.0.0.1:
«Δεδομένου ότι οι συσκευές ESXi είναι ανθεκτικές και σπάνια κλείνουν απροσδόκητα, αυτή η σήραγγα χρησιμεύει ως ημιμόνιμος κερκόπορτα εντός του δικτύου».
Πηγή: Sygnia
Κενά στην καταγραφή
Το Sygnia υπογραμμίζει επίσης τις προκλήσεις στην παρακολούθηση των αρχείων καταγραφής ESXi, οι οποίες οδηγούν σε σημαντικά κενά ορατότητας που οι φορείς ransomware ξέρουν πώς να επωφεληθούν.
Σε αντίθεση με τα περισσότερα συστήματα όπου τα αρχεία καταγραφής ενοποιούνται σε ένα μόνο αρχείο syslog, το ESXi διανέμει αρχεία καταγραφής σε πολλαπλά αποκλειστικά αρχεία καταγραφής, επομένως η εύρεση στοιχείων απαιτεί τη συγκέντρωση πληροφοριών από πολλές πηγές.
Η εταιρεία ασφαλείας προτείνει στους διαχειριστές του συστήματος να εξετάσουν αυτά τα τέσσερα αρχεία καταγραφής για να ανιχνεύσουν τη σήραγγα SSH και τη δραστηριότητα ransomware:
- /var/log/shell.log → Παρακολουθεί την εκτέλεση εντολών στο ESXi Shell
- /var/log/hostd.log → Καταγράφει τις δραστηριότητες διαχείρισης και τον έλεγχο ταυτότητας χρήστη
- /var/log/auth.log → Καταγράφει προσπάθειες σύνδεσης και συμβάντα ελέγχου ταυτότητας
- /var/log/vobd.log → Αποθηκεύει αρχεία καταγραφής συμβάντων συστήματος και ασφάλειας
Το hostd.log και το vodb.log είναι πιθανό να περιέχουν επίσης ίχνη τροποποίησης κανόνων τείχους προστασίας, κάτι που είναι απαραίτητο για να επιτρέπεται η μόνιμη πρόσβαση SSH.
Θα πρέπει να σημειωθεί ότι οι φορείς ransomware συχνά διαγράφουν αρχεία καταγραφής για να διαγράψουν στοιχεία πρόσβασης SSH, να τροποποιήσουν χρονικές σημάνσεις ή να περικόψουν αρχεία καταγραφής για να μπερδέψουν τους ερευνητές, επομένως η εύρεση αποδεικτικών στοιχείων δεν είναι πάντα απλή.
Τελικά, συνιστάται στους οργανισμούς να συγκεντρώνουν τα αρχεία καταγραφής ESXi μέσω της προώθησης αρχείων καταγραφής και να ενσωματώνουν αρχεία καταγραφής σε ένα σύστημα Διαχείρισης Πληροφοριών Ασφαλείας και Συμβάντων (SIEM) για τον εντοπισμό ανωμαλιών.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
