برامج الفدية في بيئة ظاهرية

لقد استغلت مجموعات عديدة من مجرمي الإنترنت الثغرات الأمنية في VMware ESXi لإصابة أجهزة الكمبيوتر ببرامج الفدية.

 

وعلى الرغم من أنها تحد بشكل كبير من بعض المخاطر على الشبكات، إلا أن الظاهرية ليست سوى حلٍّ عامٍ أكثر من أية ممارسة فردية أخرى. وما زال بإمكان برنامج الفدية أن يهاجم البينة التحتية الافتراضية، مثل ZDNet الذي تم الإبلاغ عنه مؤخرًا، على سبيل المثال من خلال الإصدارات التي تكون عرضة للخطر من VMware ESXi.

ويعتبر استخدام الأجهزة الظاهرية ممارسة قوية وآمنة. فعلى سبيل المثال، يمكن أن يؤدي استخدام أحد الأجهزة الظاهرية (VM) إلى تخفيف الضرر الناجم عن إحدى الإصابات إذا لم يكن الجهاز الظاهري مُحتفظًا بأي بيانات حساسة. وحتى إذا قام المستخدم بتنشيط فيروس حصان طروادة بطريق الخطأ على جهاز ظاهري، فإن مجرد تحميل صورة جديدة للجهاز الظاهري يعكس أي تغييرات ضارة.

ولكن، فإن برنامج الفدية RansomExx يستهدف الثغرات الأمنية في VMware ESXi على وجه الخصوص لمهاجمة الأقراص الثابتة الظاهرية. كما أفيد بأن مجموعة Darkside تستخدم الطريقة نفسها، وأن منشئي BabukLocker Trojan يقومون بالتلميح إلى القدرة على تشفير ESXi.

ما الثغرات الأمنية؟

يسمح VMware ESXi hypervisor لأجهزة ظاهرية متعددة بتخزين المعلومات على خادم واحد من خلال ” بروتوكول طبقة خدمة (SLP)  مفتوح”، والذي يمكنه، ضمن أمور أخرى، كشف أجهزة الشبكة دون تكوين مسبق. والثغرتان الأمنيتان قيد النظر هما CVE-2019-5544 وCVE-2020-3992، وكلاهما مؤقتات قديمة ولهذا فأمرهما ليس بجديد على مجرمي الإنترنت. حيث تُستخدم الأولى للقيام بـ هجمات تجاوز سعة، والثانية من نوع الاستخدام- بعد- الخلو – المتعلق بالاستخدام غير الصحيح للذاكرة الديناميكية أثناء التشغيل.

ولقد تم إغلاق كلٍّ من الثغرتين الأمنيتين من فترة مضت (الأولى في عام 2019، والثانية في 2020)، ولكن في عام 2021، لا يزال المجرمون قادرين على تنفيذ هجمات ناجحة من خلالهما. وكالعادة، فهذا يعني أن بعض المؤسسات لم تقم بتحديث برامجها بعد.

كيفية استغلال المخربين لثغرات ESXi الأمنية

يمكن أن يستخدم المهاجمون الثغرات الأمنية لإنشاء طلبات SLP ضارة واختراق تخزين البيانات. ولتشفير المعلومات، فهم بالطبع يحتاجون أولًا إلى اختراق الشبكة وتثبيت أقدامهم هناك. وهذه ليست مشكلة كبيرة، خاصة إذا لم يكن الجهاز الافتراضي مشغلاً لأحد حلول الأمان.

ولترسيخ أقدامهم في النظام، يمكن لمشغلي RansomExx على سبيل المثال، استخدام ثغرة الـ Zerologon الأمنية في (بروتوكول Netlogon البعيد) مما يعني أنهم يقومون بخداع المستخدم لتشغيل تعليمات برمجية ضارة على الجهاز الظاهري، ثم السيطرة على وحدة تحكم Active Directory، وحينها فقط يمكنهم تشفير مساحة التخزين وترك رسالة طلب فدية.

وبالمناسبة فإن ثغرة Zerologon الأمنية ليست الخيار الوحيد، بل هي أحد أخطر الخيارات لأن الاستغلال الناجم عنها يكاد يكون من المستحيل اكتشافه بدون الخدمات الخاصة

 

 كيف تظل محميًا من الهجمات على MSXI

  • قم بتحديث VMware ESXi؛
  • استخدم الحل البديل المقترح من قِبل VMware إذا كان التحديث مستحيلاً على الإطلاق (ولكن ضع في اعتبارك أن هذه الطريقة سوف تحد من بعض ميزات SLP)؛
  • قم بتحديث Microsoft Netlogon لسد هذه الثغرة الأمنية أيضًا؛
  • قم بحماية جميع الأجهزة على الشبكة، ويتضمن ذلك الأجهزة الظاهرية منها؛
  • استخدم الاستجابة والكشف المُدار ، الذي يكشف حتى الهجمات المعقدة متعددة المراحل والتي لا تكون مرئية لحلول مكافحة الفيروسات التقليدية.

 

النصائح

برمجيات تنقيب مخفية بداخل جووجل بلاي ستور!

عندما يصبح جهازك بطىء، يلوم العديد من المستخدمين البرمجيات الخبيثة والفيروسات. ولكن عندما يصبح هاتفك الذكي بطيء عادة ما تلوم البطارية او نظام التشغيل وعندها تريد شراء هاتف جديد! وربما يكون سبب هذه المشكلة شيء اخر تماماً!  برمجيات التنقيب المخفية!