بررسیهای انجامشده نشان میدهد حداقل یک شرکت ایرانی در روزهای اخیر هدف حمله یک باجافزار قرار گرفته که بهصورت مستقیم زیرساخت VMware ESXi را هدف قرار داده است. در این حمله، مهاجمان پس از دسترسی به هاست ESXi، فایلهای ماشینهای مجازی شامل دیسکهای مجازی (VMDK)، فایلهای پیکربندی (VMX) و سایر فایلهای مرتبط را رمزگذاری کردهاند و در نتیجه تمامی ماشینهای مجازی مستقر روی آن هاست از دسترس خارج شدهاند.
این الگوی حمله طی سالهای اخیر به یکی از روشهای رایج گروههای باجافزاری تبدیل شده است. برخلاف حملات سنتی که سیستمعامل مهمان (Guest OS) را هدف قرار میدادند، مهاجمان اکنون مستقیماً Hypervisor را هدف قرار میدهند. در چنین شرایطی، با آلوده شدن تنها یک هاست ESXi، دهها یا حتی صدها ماشین مجازی بهطور همزمان تحت تأثیر قرار میگیرند.
سازمانها چه اقداماتی انجام دهند؟
بر اساس مستندات امنیتی VMware، توصیه میکنیم سازمانهایی که از زیرساخت VMware استفاده میکنند، اقدامات زیر را در اولویت قرار دهند:
-
بهروزرسانی مستمر ESXi و vCenter و نصب سریع وصلههای امنیتی
-
عدم دسترسی مستقیم vCenter و ESXi از اینترنت
-
استفاده از VPN امن و احراز هویت چندمرحلهای (MFA) برای دسترسی مدیران
-
غیرفعال کردن سرویس SSH در زمانهایی که مورد استفاده نیست
-
محدود کردن دسترسی مدیریتی از طریق Firewall و شبکههای مدیریتی مجزا (Management Network)
-
استفاده از اصل Least Privilege برای حسابهای مدیریتی
-
فعالسازی ثبت و نگهداری لاگها و ارسال آنها به سامانه SIEM
-
استفاده از Secure Boot و TPM در صورت پشتیبانی سختافزار
-
تهیه نسخههای پشتیبان آفلاین یا Immutable Backup و انجام تستهای دورهای بازیابی
راهنمای جامع امنیت VMware:
به چه مواردی حساس باشیم؟
توصیه میکنیم در صورت مشاهده هر یک از موارد زیر، احتمال وقوع حمله را جدی بگیرید:
-
فعال شدن غیرمنتظره سرویس SSH
-
ایجاد حسابهای مدیریتی ناشناس
-
اجرای دستورات غیرمعمول در ESXi Shell
-
خاموش شدن همزمان تعداد زیادی ماشین مجازی
-
حذف یا تغییر Snapshotها
-
افزایش غیرعادی عملیات روی Datastore
-
ایجاد فایلهای باجخواهی (Ransom Note)
-
تغییر نام یا رمزگذاری فایلهای VMDK، VMX و سایر فایلهای ماشینهای مجازی
در صورت آلودگی چه باید کرد؟
توصیه میکنیم در صورت مشاهده علائم آلودگی:
-
ارتباط هاست ESXi با شبکه را فوراً قطع کنید.
-
از راهاندازی مجدد یا خاموش کردن شتابزده هاست خودداری کنید تا امکان بررسیهای جرمشناسی (Forensics) حفظ شود.
-
لاگهای ESXi، vCenter و تجهیزات امنیتی را جمعآوری و نگهداری کنید.
-
فایل یادداشت باج، پسوند فایلهای رمزگذاریشده و سایر شواهد را حذف نکنید.
-
قبل از هرگونه بازیابی، از سالم بودن نسخههای پشتیبان اطمینان حاصل کنید.
-
ابتدا مسیر نفوذ مهاجم را شناسایی و مسدود کنید و سپس عملیات بازیابی را آغاز نمایید.
جمعبندی
افزایش حملات باجافزاری علیه VMware ESXi نشان میدهد که Hypervisorها به یکی از اهداف اصلی مهاجمان تبدیل شدهاند. از آنجا که موفقیت در نفوذ به یک هاست میتواند منجر به از دسترس خارج شدن تعداد زیادی سرویس حیاتی شود، پیادهسازی توصیههای امنیتی VMware، مدیریت صحیح دسترسیهای مدیریتی، بهروزرسانی مستمر و داشتن نسخههای پشتیبان غیرقابل تغییر (Immutable Backup)، مهمترین راهکارهای کاهش ریسک این دسته از حملات محسوب میشوند.
