Шифровальщики в виртуальной среде

Несколько групп злоумышленников используют уязвимости в VMware ESXi для заражения шифровальщиками.

Есть распространенное мнение, что виртуализация значительно снижает риски от киберугроз. Действительно, на виртуальной машине, как правило, не хранятся данные. И даже если ее пользователь случайно активирует трояна, то все вредоносные изменения автоматом исчезнут после перезапуска: гипервизор просто поднимет свежую машину из образа. Однако, как показывает практика, шифровальщики могут атаковать и виртуальную инфраструктуру. Конкретный пример — атака через уязвимые версии VMware ESXi, о которой не так давно писали в издании ZDNet.

Как минимум, операторы шифровальщика-вымогателя RansomExx точно используют уязвимости в VMware ESXi для атак на виртуальные жесткие диски. Кроме того, есть сведения, что тем же методом пользуется еще и группировка Darkside, да и создатели трояна BabukLocker намекают на то, что могут шифровать ESXi.

Что за уязвимости в ESXi?

Гипервизор VMware ESXi позволяет множеству виртуальных машин хранить информацию на одном сервере. Осуществляется это через протокол Open SLP (Service Layer Protocol), который, помимо всего прочего, позволяет обнаруживать сетевые устройства без предварительной конфигурации. Речь идет о двух уязвимостях этого протокола — CVE-2019-5544 и CVE-2020-3992, обе известны уже достаточно давно, и обе не в первый раз используются злоумышленниками. Первая позволяет провести атаку переполнения динамической памяти (heap overflow), а вторая относится к типу Use-After-Free, то есть связана с некорректным использованием той же самой динамической памяти в процессе работы.

Обе уязвимости достаточно давно закрыты (первая в 2019 году, вторая – в 2020-м), однако атаки через них успешно продолжаются и в 2021-м. А это значит, что, как обычно, обновили софт далеко не все.

Как злоумышленники эксплуатируют уязвимости в ESXi?

При помощи этих уязвимостей злоумышленники могут сформировать вредоносный SLP-запрос и скомпрометировать хранилище данных. Чтобы зашифровать информацию, им, разумеется, необходимо сначала проникнуть в сеть и закрепиться в ней. Но это не такая уж большая проблема — особенно в том случае, если виртуальные машины не имеют защитных решений. Чтобы закрепиться в системе, операторы RansomExx, например, используют уязвимость Zerologon, о которой мы уже писали ранее. То есть они сначала обманом убеждают человека выполнить вредоносный код на виртуальной машине, затем захватывают контроль над контроллером Active Directory, и уже только потом шифруют хранилище, оставляя на нем записку о выкупе.

Впрочем, Zerologon — не единственный вариант. Просто один из самых опасных, поскольку его эксплуатацию практически невозможно обнаружить без специальных сервисов.

Как защититься от атак на ESXi

  • Если в вашей компании используется гипервизор VMware ESXi, имеет смысл обновить его до последней версии.
  • Если по каким-то причинам этого нельзя сделать, то VMware предлагает использовать обходной путь. Правда, тут следует помнить, что его применение повлечет за собой ограничение функций протокола SLP.
  • Если вы все еще не закрыли уязвимость в Microsoft Netlogon — вот лишний повод сделать это поскорее.
  • Защищайте все машины в сети, в том числе и виртуальные.
  • Задумайтесь об использовании сервиса Managed Detection and Response, который позволит выявить даже сложную многоэтапную атаку, которую невозможно заметить с помощью обычных антивирусных решений.
Советы