Yeni keşfedilen bir fidye yazılımı kampanyası, VMFS veri depoları arasında sanal makine disk dosyalarını özel olarak avlayan özel yapım şifreleme araçlarını dağıtarak Enterprise VMware ESXI ortamlarını askeri hassasiyetle hedefledi.
Güvenlik araştırmacıları, saldırı metodolojisini başarılı bir şekilde tersine çevirdiler ve tehdit aktörlerinin kriptografik uygulamasında fidye ödemesi olmadan tam veri kurtarmayı sağlayan kritik güvenlik açıklarını ortaya çıkardılar.
Key Takeaways
1. DarkBit ransomware targets VMware ESXi servers.
2. Uses AES-128-CBC encryption with RSA-2048 keys.
3. Researchers broke encryption without ransom payment.
Darkbit Fidye Yazılımı Saldırıları
Profero olay müdahale ekibi, Darkbit siber suçlu grubunun VMware ESXI sunucularına karşı koordineli bir saldırı başlattığını ve sanal makine disk görüntülerini şifrelemek için özel olarak tasarlanmış gelişmiş C ++ tabanlı fidye yazılımı aracı dağıttığını bildirdi.
ESXI.Darkbit (SHA256: 0BB1D29ED51D86373E31485D0E24701558E31485672265A1), sistematik olarak hedeflenen VMS DATASTORLARI ENPRIS TEŞAMLI VATORTORS olarak tanımlanan kötü amaçlı yazılım.
Saldırganlar, şifreleme işlemine başlamadan önce tüm sanal makinelerin durdurulmasını sağlamak için ESXCLI komutları kullandı.
Fidye yazılımı daha sonra, dosyaları eşzamanlı olarak şifrelemek için birden fazla işlemi, özellikle .vmdk, .vmx, .nvram ve diğer VMware’e özgü dosya biçimleri dahil olmak üzere uzantıları hedefleyerek çatalladı.
Her şifreli dosya .darkbit uzantısını aldı ve kritik iş sistemlerini çalıştırılamaz hale getirdi.
Güvenlik araştırmacıları, geniş çapta konuşlandırılmış Crypto ++ kriptografi kütüphanesini kullanarak AES-128-CBC şifrelemesini kötü amaçlı yazılım uygulamalarını keşfetti.
Fidye yazılımı, her dosya için benzersiz AES tuşları ve başlatma vektörleri (IV) üretir, simetrik anahtarlar daha sonra ikili içine yerleştirilmiş sabit kodlu bir RSA-2048 genel anahtarı kullanılarak şifrelenir.
Kötü amaçlı yazılımın yürütülmesi belirli komut satırı parametreleri gerektirir: ./esxi .
Analiz sırasında araştırmacılar, şifreleme işleminin daha büyük dosyaların kısımlarını kasıtlı olarak atladığını buldular-6.55MB altındaki dosyalar için 0xa00000 bayt atlarken 0x100000 bayt parçaları değiştirdiler ve (Dosyalar / 0x32)-0x200000’e göre daha büyük dosyalar için hesaplanmış atlama boyutlarını kullanma.
Mevcut zaman damgası, proses pid ve iki yığın adresini kullanarak tohumların yaklaşık 2^39 olası değere sahip sonlu bir tuş alanı oluşturan rastgele sayı jeneratör uygulamasında kritik güvenlik açıkları ortaya çıktı.
Kriptografik analiz yoluyla şifre çözme
Olay müdahalesi ekipleri, fidye talepleri ödemeden şifreli verileri kurtarmak için fidye yazılımının şifreleme uygulamasındaki zayıflıklardan başarılı bir şekilde yararlandı.
Araştırmacılar, anahtar kombinasyonlarını sistematik olarak test etmek için yüksek performanslı bilgi işlem kaynaklarını kullanarak AES tuşlarına karşı hedeflenen kaba kuvvet saldırıları gerçekleştirmek için bilinen VMDK dosya başlık yapısından yararlandı.
Atılım, VMDK dosyalarının başlıklarında öngörülebilir sihir baytları içerdiğini fark ederek geldi ve yaklaşık 50 bit düz metin bilindiği zaman AES-128-CBC ilk bloğuna karşı bir kriptanaliz saldırısı sağladı.
Buna ek olarak, araştırmacılar, sanal disk dosyalarının seyrek doğası, önemli verileri şifrelenmemiş bıraktığından, birçok kritik dosyanın dahili VMDK dosya sistemlerini yürüerek erişilebilir kaldığını keşfettiler.
Başarılı iyileşme, Darkbit fidye yazılımındaki temel uygulama kusurlarını vurguladı, bu da sofistike şifreleme algoritmalarının zayıf rastgele sayı üretimi ve öngörülebilir tohum değerleri ile yanlış uygulandığında savunmasız hale geldiğini gösteriyor.
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın