😈 Ransomware có thể ảnh hưởng đến VMware không? | #TEKPost by TUNGTEK

Published by TUNGTEK Tùng 🌥️,


Sưu tầm từ 𝐓𝐡𝐞𝐑𝟗𝐜𝐤 𝐂𝐲𝐛𝐞𝐫𝐬𝐞𝐜𝐮𝐫𝐢𝐭𝐲 𝐓𝐞𝐚𝐦

📌 Evernote
📌 TEKPost77


Mặc dù việc lây nhiễm máy tính Windows có thể mang lại phần thưởng nếu kẻ tấn công may mắn, nhưng rất có thể hệ điều hành sẽ được cài đặt lại và không phải trả tiền chuộc và công ty sẽ bắt đầu thắt chặt các biện pháp bảo mật. Trò chơi sẽ kết thúc cho những kẻ xấu.
Thay vì xử lý bằng cách khóa máy trạm của người dùng, giờ đây hacker cố gắng thực hiện Lateral movement từ máy trạm bị nhiễm và nhắm mục tiêu vào các thành phần cơ sở hạ tầng quan trọng như VMware ESXi. Bằng cách đó, họ tấn công cả một nhóm máy chủ cùng một lúc.
"VMware ESXi ransomware ảnh hưởng đến tất cả các máy ảo đang chạy trên hypervisor"

Từ quan điểm của một kẻ tấn công, phá hoại một máy chủ vSphere, hoặc bất kỳ hypervisor nào cho vấn đề đó, như là một loại "N trứng, 1 giỏ". Thay vì ảnh hưởng đến một máy trạm hoặc một máy chủ, tất cả các máy ảo chạy trên máy chủ bị tấn công. Một cuộc tấn công như vậy sẽ tàn phá bất kỳ môi trường doanh nghiệp nào!
Tấn công Ransomware hoạt động như thế nào?
Trong trường hợp tấn công có chủ đích, tác nhân xấu hoạt động để truy cập từ xa vào một trong mạng cục bộ (LAN), thường là máy tính người dùng, sau đó thực hiện Lateral Movement để truy cập mạng con và tấn công vào các thành phần cơ sở hạ tầng quan trọng như VMware ESXi.
Có một số cách mà một cuộc tấn công ransomware vào VMware ESXi có thể xảy ra nhưng các báo cáo đã mô tả quá trình sau.

"Cuộc tấn công ransomware vào VMware ESXi được mô tả này được chia thành 5 giai đoạn"

Giai đoạn 1: Access Local Network - Truy cập mạng cục bộ

Có được quyền truy cập vào mạng LAN thường đi theo một trong 2 cách:
    • Phần mềm độc hại được tải xuống trong phishing email hoặc từ một trang web. Nó cũng có thể đến từ một USB bị nhiễm.
    • Kẻ tấn công thực hiện một cuộc tấn công Brute force vào một máy chủ truy cập từ xa tiếp xúc với internet. Điều này có vẻ bất thường hơn vì nó liên quan đến nhiều nguồn và kiến thức hơn về mục tiêu. Các cuộc tấn công Brute force cũng thường bị bắt bởi các cơ chế bảo vệ DDoS.

"Ransomware lây lan qua các tệp đính kèm email, trang web, USB độc hại"

Giai đoạn 2: Escalate Privileges - Nâng cấp đặc quyền

Khi kẻ tấn công có quyền truy cập từ xa vào máy tính trên mạng cục bộ, có thể là máy trạm hoặc máy chủ máy tính để bàn, kẻ tấn công sẽ cố gắng Escalate privileges để mở cửa cho chính mình.
Một số báo cáo đã đề cập đến những kẻ tấn công tận dụng CVE-2020-1472, đây là một lỗ hổng trong cách thực hiện các kết nối kênh an toàn Netlogon trên hệ điều hành Windows. Kẻ tấn công sẽ sử dụng Netlogon Remote Protocol (MS-NRPC) để kết nối với domain controller và giành quyền truy cập domain administrator.
Một khi các tác nhân xấu có đặc quyền domain administrator, họ đã có thể gây ra một lượng lớn thiệt hại cho công ty. Trong trường hợp tấn công ransomware vào VMware ESXi, họ sẽ sử dụng nó để truy cập vào các máy trên mạng quản lý, trong đó nơi mà các máy chủ vCenter và máy chủ vSphere ESXi đang hoạt động.
Lưu ý rằng họ thậm chí có thể bỏ qua bước này nếu tổ chức mắc sai lầm khi cấp cho máy trạm người dùng quyền truy cập vào mạng quản lý.
Khi những kẻ tấn công ở trong mạng quản lý, bạn chỉ có thể hy vọng rằng tất cả các thành phần trong cơ sở hạ tầng của bạn đã cài đặt các bản vá bảo mật mới nhất và chính sách mật khẩu mạnh. Tại thời điểm này, chúng là tuyến phòng thủ cuối cùng, trừ khi lỗ hổng zero-day đang được tận dụng trong trường hợp đó bạn không thể làm gì nhiều về nó.
Một số lỗ hổng thực thi mã từ xa đã được khai thác trong năm qua hoặc lâu hơn đối với các máy chủ VMware ESXi và máy chủ vCenter.
Hai lỗ hổng nghiêm trọng cho phép kẻ tấn công truy cập vào máy chủ vSphere liên quan đến Service Location Protocol (SLP) được vSphere sử dụng để khám phá các thiết bị trên cùng một mạng. Bằng cách gửi các lệnh SLP độc hại, kẻ tấn công có thể thực thi mã từ xa trên máy chủ.
  • CVE-2019-5544: Sự cố ghi đè đống trong giao thức OpenSLP trong VMware ESXi.
    • CVE-2020-3992: Sự cố sử dụng sau khi miễn phí trong giao thức OpenSLP trong VMware ESXi
    • CVE-2021-21985: Mặc dù không có cuộc tấn công nào đề cập đến nó, chúng ta có thể giả định lỗ hổng vCenter Plug-in được phát hiện vào đầu năm 2021 cũng có thể là một vectơ tấn công. Truy cập máy chủ vSphere khá dễ dàng khi vCenter bị xâm phạm.
      Sau đó, hacker có thể kích hoạt SSH để có được quyền truy cập tương tác và đôi khi thậm chí thay đổi mật khẩu gốc hoặc khóa SSH của máy chủ.
      Lưu ý rằng kẻ tấn công thậm chí có thể không cần phải trải qua tất cả những bước đó nếu bằng cách nào đó khôi phục thông tin đăng nhập vCenter hợp lệ của vSphere. Ví dụ, nếu chúng được lưu trữ trong trình duyệt web hoặc lấy từ bộ nhớ của máy trạm bị nhiễm.
      Bây giờ kẻ tấn công đã có quyền truy cập vào máy chủ VMware ESXi, anh ta sẽ thực hiện các bước sau để khóa môi trường của bạn mãi mãi.
    • Uninstall Fault Domain Manager or fdm (tác nhân HA) được sử dụng để khởi động lại máy ảo trong trường hợp thất bại.
    • Tắt tất cả các máy ảo.
    • Mã hóa tất cả các tệp máy ảo bằng tệp thực thi ELF, có nguồn gốc từ tập lệnh mã hóa nhắm mục tiêu vào các máy Linux. Tệp này thường được đặt tên là svc-new và được lưu trữ trong /tmp.
    • Ghi tệp tiền chuộc vào kho dữ liệu để quản trị viên tìm.
      Lưu ý rằng có nhiều biến thể của cuộc tấn công ransomware vào VMware ESXi.
    • Nếu bạn cần mở truy cập internet trên vCenter của mình, hãy thực thi các quy tắc Firewall mạnh mẽquyền truy cập proxy vào các domain cụ thể. Không để lộ vCenter trên internet!!
    • Tránh cài đặt các plugin vCenter của bên thứ ba.
    • Kích hoạt Khởi động an toàn và vSphere Trust Authority trên máy chủ vSphere.
    • Không join máy chủ vSphere của bạn vào Active Directory.
    • Đặt VMware ESXi shell và SSH thành bắt đầu và dừng thủ công.
    • Không sử dụng cùng một mật khẩu trên tất cả các máy chủ lưu trữ
    • Giáo dục người dùng và quản trị viên của bạn thông qua các chiến dịch giáo dục.
    • Đảm bảo các bản vá bảo mật mới nhất được cài đặt càng sớm càng tốt trên tất cả các thành phần cơ sở hạ tầng cũng như các bản sao lưu, máy chủ, máy trạm...
    • Tách biệt các mạng con quản lý khỏi các mạng con khác.
    • Kết nối với mạng quản lý thông qua máy chủ nhảy. Điều quan trọng là máy chủ nhảy phải:
      • Được bảo mật và cập nhật
      • Chỉ có thể truy cập thông qua xác thực đa yếu tố (MFA)
      • Chỉ được phép cho phép một dải IP cụ thể.
    • Chỉ hạn chế quyền truy cập mạng vào các tài nguyên quan trọng đối với các quản trị viên được đào tạo.
    • Active Directory:
      • Đảm bảo AD được bảo mật và người dùng / quản trị viên được giáo dục về các cuộc tấn công lừa đảo.
      • Áp dụng chính sách đặc quyền tối thiểu.
      • Sử dụng tài khoản chuyên dụng và có tên.
      • Thực thi chính sách mật khẩu mạnh.
      • Tách biệt tài khoản Administrator và Domain Administrator trên AD.
      • Đăng xuất người dùng khi không hoạt động trên Máy chủ Máy tính Từ xa.
    • Không lưu mật khẩu cơ sở hạ tầng của bạn trong trình duyệt.
    • Sử dụng Xác thực đa yếu tố (MFA) nếu có thể, ít nhất là trên tài khoản quản trị viên.
    • Chuyển tiếp nhật ký cơ sở hạ tầng đến máy chủ Syslog để kiểm tra đường mòn.
    • Đảm bảo tất cả các máy trạm và máy chủ đều có phần EDR với các định nghĩa được cập nhật thường xuyên.
    • Tránh tích hợp Active Directory hoặc sử dụng xác thực đa yếu tố (MFA).
    • Không sử dụng cùng một thông tin đăng nhập để truy cập vào cơ sở hạ tầng VMware và sao lưu.
    • Thực hiện theo tiêu chuẩn backup dự phòng 3-2-1 ít nhất.
    • Kiểm tra bản sao lưu của bạn thường xuyên.
    • Giữ cơ sở hạ tầng sao lưu trên một mạng chuyên dụng.
    • Lưu giữ sao lưu đầy đủ để tránh sao lưu dữ liệu bị nhiễm.
    • Duy trì bản sao lưu chỉ đọc

Giai đoạn 3: Access management network - Mạng quản lý truy cập

Giai đoạn 4: VMware ESXi vulnerabilities - Lỗ hổng VMware ESXi

Giai đoạn 5: Encrypt datastore và request ransomware - Mã hóa kho dữ liệu và yêu cầu tiền chuộc

Cách bảo vệ bạn khỏi các cuộc tấn công ransomware trên VMware ESXi

Đảm bảo ít nhất các hướng dẫn chung sau đây đang được thực thi trong môi trường của bạn để thiết lập tuyến phòng thủ vững chắc đầu tiên:

Các đề xuất liên quan đến môi trường VMware

Một số khuyên bạn không nên thêm Active Directory làm nguồn nhận dạng trong vCenter Server. Mặc dù điều này chắc chắn loại bỏ một vectơ tấn công, nhưng việc định cấu hình Xác thực đa yếu tố cũng giảm thiểu rủi ro này.

Tiêu chuẩn ngành

Các bản sao lưu phù hợp với tất cả những điều này ở đâu?

Mặc dù có các công cụ giải mã ngoài kia, nhưng không phải lúc nào chúng cũng hoạt động. Trên thực tế, họ gần như sẽ không bao giờ.
Khôi phục từ bản sao lưu về cơ bản là cách duy nhất được biết đến cho đến nay mà bạn có thể sử dụng để khôi phục sau cuộc tấn công ransomware vào VMware ESXi. Bạn có thể sử dụng những phần mềm khác nhau để đảm bảo môi trường của bạn được bảo vệ.
Bởi vì những kẻ tấn công biết rõ điều này, chúng sẽ cố gắng gỡ bỏ cơ sở hạ tầng sao lưu và xóa tất cả các tệp để lựa chọn duy nhất còn lại của bạn là trả tiền chuộc. Điều này, như đã đề cập trước đây, không đảm bảo rằng bạn lấy lại các tệp của mình.
Do đó, điều tối quan trọng là đảm bảo cơ sở hạ tầng sao lưu của bạn được bảo vệ và an toàn bằng cách làm theo các phương pháp hay nhất:

TUNGTEK Tùng, 26.03.24

➖➖➖➖➖
#ransomware #esxi

FB Post
😈 𝕍𝕄𝕎𝕒𝕣𝕖 𝔼𝕊𝕏𝕚 & ℝ𝕒𝕟𝕤𝕠𝕞𝕨𝕒𝕣𝕖
➖➖➖➖➖
Một chia sẻ hay từ 𝐓𝐡𝐞𝐑𝟗𝐜𝐤 𝐂𝐲𝐛𝐞𝐫𝐬𝐞𝐜𝐮𝐫𝐢𝐭𝐲 𝐓𝐞𝐚𝐦. Mời ae tham khảo qua #TEKPost77. Cảm ơn Nghĩa.
.
📌 https://tek.tungtek.com/post/ransomware-co-the-anh-huong-den-vmware-khong-tekpost-by-tungtek
➖➖➖➖➖
𝐓𝐔𝐍𝐆𝐓𝐄𝐊 - 𝐈𝐓 & 𝐂𝐥𝐨𝐮𝐝 𝐒𝐞𝐫𝐯𝐢𝐜𝐞𝐬 🌥️ - 𝐇𝐨𝐭𝐥𝐢𝐧𝐞 𝟎𝟗𝟔𝟑𝟓𝟎𝟗𝟏𝟏𝟓
#tungtek #ransomware #esxi