محاولة الحفاظ على حراسك: هجمات برامج الفدية المرتكزة على Python
نشرت: 2022-01-04
في وقت سابق من هذا العام ، حدد العلماء في Sophos مجموعة واسعة جديدة من برامج الفدية التي تم تكوينها بلغة برمجة Python. استهدف الهجوم جهاز VMware ESXi المستضاف (VM) ، وقام بتشفير الأقراص الرقمية وجعلها جميعًا غير متصلة بالإنترنت.
من الواضح أن برنامج الفدية الذي تم العثور عليه سريع الأداء بشكل غير عادي ويمكنه تشفير معلومات المستهلك في غضون ساعات قليلة فقط. في الواقع ، في السيناريو الذي كشف عنه علماء سوفوس ، استغرق الهجوم 3 ساعات فقط.
في تقرير عن الاكتشاف ، لاحظ باحث رئيسي في Sophos أن Python هي لغة ترميز لا تُستخدم كثيرًا في برامج الفدية. وفقًا لتقرير حديث صادر عن قسم التحليل والاستخبارات في BlackBerry ، فإن البرامج الضارة يتم إجراؤها عادةً باستخدام لغات مثل Go و DLang و Nim و Rust. وهذا ما يوضح أنه عادة ما يعتمد إلى حد كبير على النظام الذي يركز عليه المهاجم.
لغة برمجة بايثون
بادئ ذي بدء ، من المهم وضع سياق لأهمية استخدام Python في برامج الفدية الضارة. Python هي لغة برمجة نصية قوية ومفتوحة المصدر وشاملة الميزات. في العبارات التي يستخدمها كمسؤول إجراء ، فإنه قادر على استخدام وحدات لتمكين الوظائف التي يتم تنفيذها بشكل مستمر.
كما اشتهر الباحثون في BlackBerry ، يفضل المهاجمون عمومًا اللغات الأصغر سنًا في وجودها وغير المعروفة إلى حد ما وغير المحللة. من ناحية أخرى ، تعد لغة Python واحدة من أكثر لغات البرمجة شيوعًا المستخدمة في الوقت الحاضر وقد تم إطلاقها قبل 30 عامًا في عام 1991. ويعود قبولها إلى فائدتها كبرنامج لأي مسؤول نظام. وسط عناصر أخرى ، يمكن أن تكون Python ذات مساعدة رائعة في تشغيل الخوادم وتسجيل أغراض الإنترنت وفحصها.
كيف كان هذا الهجوم ممكنا؟
أخيرًا ، كان الخطأ البشري هو الذي أدى إلى هذا الاعتداء. بدأ الأمر عندما تمكن المهاجمون من اختراق حساب TeamViewer الذي ينتمي إلى الشركة الضحية. اختبر الشخص إدخال المسؤول ولم يتم تمكين المصادقة متعددة العوامل (MFA).
بعد ذلك ، تضمن الاعتداء استغلال واجهة VMware Hypervisor الإدارية. تحتوي خوادم ESXi على دعم SSH مدمج يسمى ESXi Shell والذي يمكن للمسؤولين المساعدة وتعطيله عند الحاجة. ظهر هذا الهجوم لأنه تم تمكين مساعدة قذيفة ESXi ثم بقيت قيد التشغيل.
أعلن الباحثون في التقرير أن مهاجمة النظام كشفت عن مزود shell قيد التشغيل والذي كان يجب تعطيله بعد الاستخدام مباشرة. من حيث الجوهر ، تركت أبواب كل برنامج تشغيل للضحية مفتوحة.
قام موظفو تكنولوجيا المعلومات في المنظمة الضحية بتطبيق ESXi Shell بانتظام للتعامل مع الخادم وقاموا بتمكين وتعطيل الصدفة عدة مرات في الأشهر السابقة للهجوم. من ناحية أخرى ، في المرة الأخيرة التي مكنوا فيها القشرة ، لم ينجحوا في تعطيلها لاحقًا. استفاد المجرمون من هذا وكانوا في وضع يمكنهم من الوصول إليه وبالتالي تشفير جميع الأقراص الافتراضية الخاصة بالضحية.
لو تم الالتزام باقتراحات استقرار إجراء VMware ، لكان الإجراء آمنًا أو على الأقل كان من الصعب على المهاجمين تقسيم العملية بالكامل وتشفيرها في مرحلة ما.
لماذا تم تطبيق بايثون؟
أصبحت بايثون معروفة بشكل متزايد ، ليس فقط كلغة برمجة للأغراض العامة ولكن لإدارة أنظمة تكنولوجيا المعلومات أيضًا. تم استخدام Python في سياق هذا الهجوم لأنه كان خاليًا من المتاعب.
نظرًا لأن Python يتم وضعها مسبقًا في الكثير من وحدات العمل التي تركز على Linux مثل ESXi ، فإن استخدام Python في هذه المناسبة هو الأفضل.
بشكل أساسي ، استخدم المهاجمون التطبيقات الموجودة بالفعل في تكوين هدف الهجوم فقط. استخدم المهاجمون البرمجة النصية الدقيقة التي كان الهدف يستخدمها الآن لواجباته الإدارية اليومية.
تشرح النقطة التي تم استخدام Python كأداة شاملة للنظام كيفية نشر البرنامج الضار في 10 دقائق فقط. يوضح هذا أيضًا سبب تصنيف العلماء لها على أنها "سريعة بشكل غير عادي" ، حيث كانت جميع الموارد المهمة تنتظر المهاجمين على موقع الويب.
استهداف خوادم ESXi والأجهزة الافتراضية
تعد خوادم ESXi هدفًا جذابًا لمجرمي برامج الفدية حيث يمكنهم مهاجمة العديد من الأجهزة الرقمية في أقرب وقت ويمكن لكل فرد من الأجهزة الرقمية تشغيل عدد من التطبيقات المهمة للمؤسسات أو خدمات الخبراء.
لكي يكون الهجوم مثمرًا ، سيحتاج المهاجمون إلى الوصول إلى المعرفة المهمة للشركة. في هذا السيناريو ، قام التركيز على الشركة ذات الخبرة سابقًا بتجميعها كلها أقل من مظلة واحدة فقط قبل وصول المهاجمين. لهذا السبب ، فإن فرصة عائد الاستثمار المالي من الهجوم تكون مكبرة وتصنع خوادم ESXi الهدف الممتاز.
فهم الطبقات الغالية
لا تنصح VMware بترك غلاف ESXi يعمل بدون مراقبته ويمكنه أيضًا تقديم اقتراحات حول امتياز العملية الذي لم يتم الالتزام به في هذه الظروف. قد يؤدي فرض أساليب استقرار بسيطة جدًا إلى وقف مثل هذه الهجمات أو على الأقل جعلها أكثر صعوبة.
كقاعدة أمان أساسية في إدارة تقنيات تكنولوجيا المعلومات: كلما قل النظام تعرضه بشكل ملحوظ ، قل ما يتم تأمينه. إعداد التقنية الأصلية والتكوين الافتراضي ليسا ملائمين لسلامة برنامج الإنشاء.
إذا تم تعطيل ESXi Shell ذي الخبرة بعد أن أكمل المسؤولون تشغيلهم ، فلن يحدث ذلك بسهولة. اعتاد المسؤولون على استخدام ESXi Shell كبوابة محترمة للتحكم في الأجهزة الرقمية للعملاء ، وبالتالي تصرفوا بطريقة غير مبالية ، وفشلوا في إغلاق البوابة في طريقهم للخروج.
جزء آخر من هذا الموقف يجب التفكير فيه من وجهة نظر إدارية ، هو رؤية أجهزة الملفات العالمية. كانت جميع أقسام الحقائق الخاصة بالضحية متوفرة في نظام الملفات الداخلي فقط. نحن نعلم أن التشفير قد اكتمل ملفًا بملف. أرفق المجرمون التشفير الضروري لكل ملف على حدة وقاموا بالكتابة فوق محتوى الملف الأساسي. يمكن لمسؤول الإجراءات الأكثر حرصًا أن يفصل منطقة التفاصيل عن التطبيقات ويقسمها بين تخزين المعرفة وبقية البرنامج.
ستؤدي إضافة تفويض متعدد المشكلات للحسابات التي تتمتع بمرحلة أعلى من الامتياز إلى إنهاء مهاجمي الفرصة أيضًا ، لكن أسلوب العائالت المتعددة MFA غير مرحب به بشكل عام من قبل المديرين للاستخدام المتكرر كل يوم.
لا يمكن الاستهانة بأن امتلاك العلاجات المناسبة في مكانها سيمكن من تثبيط الهجمات طويلة المدى. إجمالي ، هذا له علاقة بأمن الأسلوب والإدارة أكثر بكثير مما يتعلق ببايثون. في هذا السيناريو ، كانت Python هي الأداة الأكثر ملاءمة للاستخدام ، وقد أعطت للمهاجمين إجراءات واسعة النطاق لجميع الأجهزة الرقمية.
Piotr Landowski ، مشرف خدمة الشحن ، STX Upcoming