امنیت

فناوری اطلاعات

December 8, 2023
16:12 جمعه، 17ام آذرماه 1402
کد خبر: 153711

حمله به VMware ESXi توسط نسخه لینوکسی باج‌افزار Qilin

منبع: ماهر

امروزه، کسب و کارهای بیشتری از فناوری‌‌‌‌‌‌های مجازی‌‌‌‌‌‌سازی برای میزبانی سرور استفاده می‌‌‌‌‌‌کنند. در این میان، VMware ESXi به دلیل کارایی مطلوب در مجازی‌‌‌‌‌‌سازی سرورها محبوب شده است. با این حال، مهاجمان به سرعت با این روند سازگار شده و رمزگذارهای تخصصی را برای به خطر انداختن این سرورهای مجازی توسعه داده‌اند. به تازگی محققان امنیتی یک نسخه لینوکسی از باج‌افزار Qilin را کشف کرده‌اند که به طور خاص برای هدف قرار دادن سرورهای VMware ESXi طراحی شده است. این باج‌‌‌‌‌‌افزار یکی از پیشرفته-ترین و قابل تنظیم‌ترین رمزگذارهای لینوکسی مشاهده شده تاکنون است.
در حالی‌‌‌‌‌‌که بسیاری از عملیات‌‌‌‌‌‌های باج افزار از کدهای منبع موجود استفاده می‌‌‌‌‌‌کنند، برخی دیگر از رمزگذارها به طور خاص برای سرورهای لینوکس توسعه یافته‌‌‌‌‌‌اند. کشف اخیر یک رمزگذار لینوکس ELF64 را برای Qilin آشکار کرده است که قابلیت سازگاری با سرورهای لینوکس، FreeBSD و VMware ESXi را دارد.
باج افزار Qilin که در ابتدا به عنوان باج افزار Agenda در آگوست 2022 شروع به کار نمود، در سپتامبر تغییر نام داده است. این یکی از معدود بدافزارهای نوشته شده در Golang است که احتمالاً می‌‌‌‌‌‌تواند برخی از قابلیت‌های ضد تشخیص پیشرفته را به آن اعطا کند. Qilin با اجرای روش‌‌‌‌‌‌های معمول باج‌افزار هدف‌گیری سازمانی، به شبکه‌ها نفوذ می‌کند، داده‌ها را استخراج می‌کند و متعاقباً باج‌افزار را برای رمزگذاری همه دستگاه‌های متصل به کار می‌گیرد.
رمزگذار Qilin دارای پیکربندی‌هایی است که پسوند فایل، خاتمه فرآیند، گنجاندن یا حذف فایل و رمزگذاری یا حذف پوشه را دیکته می‌کند. همچنین این بدافزار به شدت بر ماشین‌های مجازی که فراتر از رمزگذاری فایل هستند، تأکید دارد. رمزگذار Qilin قابلیت سفارشی‌‌‌‌‌‌سازی گسترده‌ای را به مهاجمان می‌‌‌‌‌‌دهد. این گزینه‌ها از فعال کردن حالت‌های اشکال‌‌‌‌‌‌زدایی گرفته تا سفارشی کردن رمزگذاری ماشین‌های مجازی و snapshotهای آنها را شامل می‌شود. علاوه بر این، رمزگذار به مهاجم اجازه می‌‌‌‌‌‌دهد تا لیستی از ماشین‌‌‌‌‌‌های مجازی را که از رمزگذاری مستثنی هستند، مشخص کنند.

محصولات تحت تاثیر
Qilin کاربران و سازمان هایی را هدف قرار می‌دهد که هایپروایزر ESXi را اجرا می‌‌‌‌‌‌کنند. این بدافزار فایل‌ها را روی دستگاه‌های USB متصل با رمزگذاری AES-256 و یک کلید عمومی RSA که به‌ طور تصادفی تولید می‌شود، رمزگذاری می‌کند. همچنین در هر پوشه یک فایل HTML ایجاد می‌کند که دارای فایل‌های رمزگذاری‌شده حاوی دستورالعمل‌هایی درباره پرداخت باج و محل دریافت کلیدهای رمزگشایی است.
اگرچه برخی از محققان امنیتی معتقدند که بدافزار اخیر بیشتر یک گزینه فرصت طلب برای انتشار Qilin از طریق دستگاه‌‌‌‌‌‌های آلوده USB است و سازمان یا صنعت خاصی را برای حمله، مد نظر ندارد، اما برخی دیگر از محققان معتقدند که Qilin سازمان‌‌‌‌‌‌ها و شرکت‌‌‌‌‌‌های با ارزش بالا را انتخاب می‌‌‌‌‌‌کند و عمدتاً بر سازمان‌های بخش‌های بهداشت و درمان و آموزش در آفریقا و آسیا تمرکز دارد.

توصیه‌های امنیتی
چند روش برای شناسایی باج افزار Agenda و حفظ امنیت در شبکه عبارتند از:
• آموزش و آموزش کارکنان: مؤثرترین روش آموزش اصول اولیه حفظ امنیت سایبری به کارکنان است.
• فایل پشتیبانی اطلاعات: در صورت امکان به صورت آفلاین از اطلاعات نسخه پشتیبان تهیه شود. این کار از خراب شدن کپی‌‌‌‌‌‌های داده آفلاین جلوگیری می‌‌‌‌‌‌کند و به بازیابی داده‌‌‌‌‌‌ها بدون تلاش زیاد کمک می‌‌‌‌‌‌کند.
• ابزارهای امنیتی: توصیه می‌شود از ابزارهای امنیتی استفاده کنید که از امضا، کشف یا الگوریتم‌های هوش مصنوعی برای شناسایی و مسدود کردن فایل‌ها یا فعالیت‌های مشکوک استفاده می‌کنند. چنین ابزارهایی می‌‌‌‌‌‌توانند انواع باج افزارهای شناخته شده را شناسایی و مسدود کنند.
• ترافیک شبکه: نظارت بر ترافیک شبکه برای هرگونه نشانه‌ای از به خطر افتادن، همانند الگوهای ترافیک غیرمعمول یا ارتباط با سرورهای فرمان و کنترل شناخته شده، امکان شناسایی فعالیت‌های مشکوک را فراهم می‌کند.
• ممیزی‌‌‌‌‌‌های امنیتی: ممیزی‌ها و ارزیابی‌های امنیتی منظم برای شناسایی آسیب‌پذیری‌های شبکه و سیستم برای حفظ حفاظت به‌روز توصیه می‌شود.

  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.