CISA, ESXiArgs Ransomware için Kurtarma Komut Dosyası Yayınladı


ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), son zamanlarda yaygın olan ESXiArgs fidye yazılımı saldırılarında şifrelenen VMware ESXi sunucularını geri almak için bir komut dosyası yayınladı.

ESXiArgs-Recover, sanal makinelere (VM) ve birkaç dosyaya yeniden erişim sağlamaya yardımcı olabilir. Kurtarma komut dosyasının etkinliği tüm sistemlerde doğrulanamadığından, araç, ESXiArgs fidye yazılımından etkilenmeyen sanal disklerden sanal makine meta verilerinin yeniden yapılandırılmasına yardımcı olabilir.

Geçen Cuma günü başlayan yaygın bir ESXiArgs fidye yazılımı saldırısı, o zamandan beri 2.800 sunucunun şifrelenmesiyle, açığa çıkan VMware ESXi sunucularını hedef aldı. İtalya’nın ulusal siber güvenlik kurumu Agenzia per la Cybersicurezza Nazionale (ACN), Pazar günü büyük bir fidye yazılımı saldırısı hakkında küresel bir uyarı yayınladı.

CISA’nın Kurtarma Komut Dosyası ESXiArgs-Recover

Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), ESXiArgs-Recover kurtarma komut dosyasını 7 Şubat’ta kullanıma sundu. Üçüncü taraf araştırmacılardan gelen girdiler ve Enes Sönmez’in öğreticileri buna eklendi. Fidye yazılımı kurtarma betiği aşağıdaki gibi uygulanabilir:

  1. Kurtarma betiğini /tmp/recover.sh olarak indirme ve kaydetme
  2. Komut dosyasını yürütme iznine izin ver: chmod +x/tmp/recover.sh
  3. Klasörlere göz atmak ve şifrelerini çözmek için 1s /vmfs/volumes/datastore1 komutunu çalıştırın
  4. VM’yi not etmek için dosyaları görüntülemek için 1’leri çalıştırın.
  5. Buradaki isme sanal makinenin adını eklemek – /tmp.recover.sh [name]bu CISA kurtarma komut dosyasını çalıştırın.

Fidye yazılımı kurtarma komut dosyasını çalıştırdıktan sonra, sanal makinenin kurtarılıp kurtarılamayacağı anlaşılır. ESXiArgs-Recover betiği başarılı bir şekilde çalışırsa, sanal makinenin yeniden kaydedilmesi gerekir.

Fidye notunu kaldırmak, onu ransom.html dosyasına taşımak ve ESXi web arayüzüne yeniden erişim kazanmak için aşağıdaki adımlar önerilir:

  1. Çalıştır: cd /usr/lib/vmware/hostd/docroot/ui/ & mv index.html ransom.html & mv index1.html index.html
  2. Çalıştır: cd /usr/lib/vmware/hostd/docroot & mv index.html ransom.html & rm index.html & mv index1.html index.html
  3. Dakikalar sonra web yüzeyine gitmek için ESXi sunucusunu yeniden başlatın.
  4. ESXi web arayüzünde sanal makineler sayfasına gidin
  5. Geri yüklenen sanal makine zaten varsa, VM’ye sağ tıklayıp Kaydı Sil’i seçerek kaydını kaldırın.
  6. Ardından, Sanal Makine Oluştur/Kaydet’e tıklayın.
  7. Seçin: Mevcut bir sanal makineyi kaydedin
  8. Geri yüklenen VM klasörüne erişmek için tıklayın: Bir veya daha fazla sanal makine, veri deposu veya dizin seçin
  9. Klasörden vmx dosyasını seçin.
  10. İleri > Bitir’e tıklayın. Bu, sanal makineye tam erişim sağlayacaktır.

Bu CISA kurtarma betiği ESXiArgs-Recover, herhangi bir garanti verilmeden kullanıma sunulmuştur ve betiğin uygulanmasının mühendis tarafından anlaşılması beklenmektedir.

Eski bir güvenlik açığını kullanan fidye yazılımı saldırısı

23 Şubat 2021’de CVE-2021-21974 güvenlik açığı için bir yama yayınlandı. Ancak, siber suçlular yama uygulanmamış sistemleri hedefleyerek bu yamadan yararlandı:

https://i0.wp.com/blog.cyble.com/wp-content/uploads/2023/02/ Figure-1-Statistics-of-Args-Ransomware-Source-Shodan.jpg?w=962&ssl=1

ESXi Args fidye yazılımından etkilenen ülkeler (Fotoğraf: Cyble)

İlk olarak İtalya’da gözlemlenen ESXi Args fidye yazılımı saldırısı Fransa’yı, ardından Amerika Birleşik Devletleri’ni etkiledi. Bleeping Computer destek forumunda yayınlanan bir şifreleyici de bulundu.

Bu fidye yazılımı saldırısı, encrypt.sh adlı iki dosya, bir kabuk komut dosyası ve dosyaları şifrelemek için yürütülebilir bir ELF olan encrypt içerir.

Kabuk betiği, silmek için kök dizindeki tüm .log dosyalarını arar. Bu ayrıca tespit edilmekten kaçınmak için fidye yazılımının izlerini de siler. Bu, Cyble Research & Intelligence Labs (CRIL) araştırmacıları tarafından örnek karmadan bulundu: (SHA256), 11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66.

Ekip, aşağıdaki görüntüdeki gibi kötü amaçlı dosyanın 64 bitlik bir gcc derlenmiş ELF ikili dosyası olduğunu keşfetti:

https://i0.wp.com/blog.cyble.com/wp-content/uploads/2023/02/ Figure-7-Static-details-of-Ransomware-payload.jpg?w=914&ssl=1

(Fotoğraf: Cyble)

Önceden bilinen güvenlik açıkları, altyapıya ve rutin işlemlere ciddi zarar vermek için kullanılır. Yeni güvenlik açıkları, istismardan kaçınmak için yazılımda en yüksek güvenliği sağlamanın odak noktası olmaya devam ediyor, ancak sistemdeki yazılımın eski bir sürümünü kullanıyor olabilecek tüm güvenlik açıklarını yamalamak da aynı derecede önemli.





Source link