Gardınızı yüksek tutmaya çalışmak: Python merkezli fidye yazılımı saldırıları
Yayınlanan: 2022-01-04
Bu yılın başlarında, Sophos'taki bilim adamları, Python programlama dilinde oluşturulmuş yeni ve geniş bir fidye yazılımı yelpazesi belirlediler. Saldırı, VMware ESXi tarafından barındırılan Sanal Ekipmanı (VM) hedef alarak dijital diskleri şifreledi ve hepsini çevrimdışı duruma getirdi.
Görünüşe göre, bulunan fidye yazılımı alışılmadık derecede hızlı performans gösteriyor ve tüketici bilgilerini birkaç saatlik herhangi bir fark yaratarak şifreleme olasılığı var. Gerçekte, Sophos bilim adamlarının ortaya çıkardığı senaryoda, saldırı sadece 3 saat sürdü.
Keşifle ilgili bir raporda, Sophos'taki bir baş araştırmacı, Python'un fidye yazılımı için sıklıkla kullanılmayan bir kodlama dili olduğunu gözlemledi. BlackBerry'nin Analiz ve İstihbarat bölümünün yakın tarihli bir raporuna göre, kötü amaçlı yazılımlar çok daha tipik olarak Go, DLang, Nim ve Rust gibi dillerle çalışıyor. Bu, genellikle büyük ölçüde bir saldırganın odaklandığı sisteme bağlı olduğunu açıkladı.
Python programlama dili
Her şeyden önce, fidye yazılımlarında Python kullanımının önemini bağlamsallaştırmak önemlidir. Python, açık kaynaklı, kapsamlı özelliklere sahip, sağlam bir betik dilidir. Prosedür yöneticisi olarak kullanımları deyimiyle, sürekli yapılan işlerle olanak sağlayacak modülleri kullanabilmektedir.
BlackBerry'deki araştırmacılar tarafından ünlü olarak, saldırganlar genellikle daha genç olan ve oldukça bilinmeyen ve analiz edilmemiş dilleri tercih ediyor. Python ise günümüzde kullanılan en popüler programlama dillerinden biridir ve 30 yıl önce 1991'de piyasaya sürülmüştür. Kabulü, herhangi bir sistem yöneticisi için bir yazılım olarak sağladığı faydadan kaynaklanmaktadır. Diğer öğelerin yanı sıra Python, sunucuların çalıştırılmasında, günlüklerin kaydedilmesi ve İnternet amaçlarının taranmasında harika bir yardımcı olabilir.
Bu saldırı nasıl mümkün oldu?
Son olarak, bu saldırının nedeni insan hatasıydı. Saldırganlar, kurban işletmesine ait bir TeamViewer hesabına girmeyi başardığında başladı. Kişi, yönetici girişi yaşadı ve çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmedi.
Daha sonra, saldırı, bir yönetimsel VMware Hiper Yönetici arabiriminin kötüye kullanımını içeriyordu. ESXi sunucuları, yöneticilerin gerektiğinde yardımcı olabileceği ve gerektiğinde devre dışı bırakabileceği ESXi Shell olarak adlandırılan yerleşik bir SSH desteğine sahiptir. Bu saldırı, ESXi kabuk yardımının etkinleştirilmesi ve ardından çalışmaya devam etmesi nedeniyle gerçekleşti.
Raporda, araştırmacılar, sisteme saldırmanın, kullanımdan hemen sonra devre dışı bırakılması gereken çalışan bir kabuk sağlayıcısını açığa çıkardığını beyan ediyor. Özünde, kurbanın işletim programlarının her birinin kapıları açık bırakılıyordu.
Kurban kuruluşun BT çalışanları, sunucuyu yönetmek için düzenli olarak ESXi Shell'i uyguladı ve saldırıdan önceki aylarda kabuğu birkaç kez etkinleştirdi ve devre dışı bıraktı. Öte yandan, kabuğu son kez etkinleştirdiklerinde, daha sonra devre dışı bırakmakta başarısız oldular. Suçlular bundan kazanç sağladılar ve kurbanın tüm sanal disklerine erişebilecek ve dolayısıyla şifreleyebilecek bir konumda oldular.
VMware prosedür kararlılığı önerilerine bağlı kalınmış olsaydı, prosedür güvenli olurdu veya en azından saldırganların bölünmesi ve bir noktada tüm süreci şifrelemesi daha zor olurdu.
Python neden uygulandı?
Python, yalnızca genel amaçlı bir programlama dili olarak değil, aynı zamanda BT sistem yönetimi için de giderek iyi tanınmaya başlıyor. Bu saldırı sırasında sorunsuz olması nedeniyle Python kullanıldı.
Python, ESXi gibi birçok Linux merkezli çalışma birimine önceden yerleştirildiğinden, bu durumda Python kullanımı en mantıklısı.
Esasen saldırganlar, yalnızca saldırı hedefinin yapısında mevcut olan uygulamaları kullandılar. Saldırganlar, hedefin günlük idari görevleri için kullanmakta olduğu komut dosyasının aynısını kullandılar.
Python'un sistem kapsamlı bir araç olarak kullanıldığı nokta, kötü amaçlı yazılımın sadece 10 dakikada nasıl dağıtıldığını açıklıyor. Bu aynı zamanda bilim adamları tarafından neden 'olağandışı hızlı' olarak etiketlendiğini, tüm önemli kaynakların web sitesinde saldırganları beklediğini açıklıyor.
ESXi sunucularını ve sanal cihazları hedefleme
ESXi sunucuları, birçok dijital makineye en kısa sürede saldırabildikleri ve dijital cihazların her bir bireyi bir dizi kurumsal önemli uygulama veya uzman hizmeti çalıştırabileceğinden, fidye yazılımı suçluları için çekici bir hedeftir.
Bir saldırının üretken olması için tehdit aktörlerinin işletmenin kritik bilgisine erişmesi gerekir. Bu senaryoda, daha önce deneyimlenen şirkete odaklanma, saldırganların gelmesinden önce hepsini tek bir şemsiyeden daha az gruplandırdı. Saldırıdan finansal yatırımın fırsat getirisi bu nedenle maksimize edilmiştir ve ESXi sunucuları mükemmel bir hedeftir.
Değerli sınıfları anlama
VMware, izlenmeden ESXi kabuğunun çalışır durumda bırakılmasını önermez ve ayrıca bu durumda uyulmayan tüm süreç ayrıcalığı hakkında önerilerde bulunabilir. Çok basit kararlılık yöntemleri uygulamak, bunun gibi saldırıları durdurabilir veya en azından onları daha da zorlaştırabilir.
BT tekniklerinin yönetiminde temel bir güvenlik kuralı olarak: sistem ne kadar az açığa çıkarsa, o kadar az güvenlik altına alınması gerekir. Orijinal teknik kurulumu ve varsayılan yapılandırma, oluşturma programı güvenliği için yeterli değil.
Yöneticiler işlemlerini tamamladıktan hemen sonra ESXi Shell deneyimli devre dışı bırakılsaydı, bu kadar rahat gerçekleşmeyecekti. Yöneticiler, müşterilerin dijital cihazlarını kontrol etmek için ESXi Shell'i saygın bir ağ geçidi olarak kullanmaya alışmışlardı ve bu nedenle dikkatsiz davrandılar ve çıkışta kapıyı kapatmayı başaramadılar.
Bu durumun idari açıdan düşünülmesi gereken bir başka parçası da dünya dosya cihazlarının görünürlüğüdür. Tüm kurbanın bilgi bölümleri sadece kendi dosya sistemlerinde mevcuttu. Dosya dosya şifrelemenin tamamlandığını biliyoruz. Suçlular, her bir dosyaya gerekli olan şifrelemeyi eklediler ve birincil dosya içeriğinin üzerine yazdılar. Çok daha dikkatli bir prosedür yöneticisi, ayrıntılar alanını uygulamalardan ayırabilir ve onu bilgi depoları ile programın geri kalanı arasında bölebilir.
Daha yüksek bir ayrıcalık aşamasına sahip hesaplar için Çoklu Sorun Yetkilendirmesi eklemek, fırsat saldırganlarından da vazgeçilmesine neden olur, ancak MFA genellikle yöneticiler tarafından her gün sık kullanım için hoş karşılanmaz.
Uygun tedavilere sahip olmanın uzun vadeli saldırıları caydırmayı sağlayacağı göz ardı edilemez. Toplamda, bunun Python'dan çok yöntem güvenliği ve yönetimi ile ilgisi var. Bu senaryoda Python, kullanılabilecek en uygun araçtı ve saldırganlara tüm dijital makineler prosedürünü geniş bir şekilde elde etme imkanı verdi.
Piotr Landowski, Servis Sevkiyat Süpervizörü, STX Yaklaşıyor