Der Versuch, auf der Hut zu sein: Python-zentrierte Ransomware-Angriffe
Veröffentlicht: 2022-01-04
Anfang dieses Jahres haben Wissenschaftler bei Sophos eine neue breite Palette von Ransomware ermittelt, die in der Programmiersprache Python verfasst wurde. Der Angriff zielte auf VMware ESXi-gehostete virtuelle Geräte (VM) ab, verschlüsselte die digitalen Festplatten und brachte sie alle offline.
Anscheinend ist die gefundene Ransomware ungewöhnlich leistungsfähig und kann Verbraucherinformationen innerhalb weniger Stunden verschlüsseln. In Wirklichkeit dauerte der Angriff in dem von den Sophos-Wissenschaftlern aufgedeckten Szenario nur 3 mehrere Stunden.
In einem Bericht über die Entdeckung stellte ein leitender Forscher bei Sophos fest, dass Python eine Programmiersprache ist, die nicht häufig für Ransomware verwendet wird. Laut einem kürzlich erschienenen Bericht der Analysis & Intelligence-Abteilung von BlackBerry arbeitet Malware viel häufiger mit Sprachen wie Go, DLang, Nim und Rust. Das erklärt, es ist in der Regel weitgehend abhängig von dem System, auf das sich ein Angreifer konzentriert.
Die Programmiersprache Python
Zunächst einmal ist es wichtig, die Bedeutung der Verwendung von Python in Ransomware zu kontextualisieren. Python ist eine Open-Ressource-, umfassend ausgestattete, robuste Skriptsprache. In Bezug auf seine Verwendung als Verfahrensadministrator ist es in der Lage, Module zu verwenden, um Aufgaben zu ermöglichen, die kontinuierlich ausgeführt werden.
Wie die Forscher von BlackBerry bekannt haben, bevorzugen Angreifer im Allgemeinen Sprachen, die in ihrer Existenz jünger und kaum bekannt und nicht analysiert sind. Python hingegen ist eine der beliebtesten Programmiersprachen, die heutzutage verwendet wird, und wurde 1991 vor 30 Jahren auf den Markt gebracht. Seine Akzeptanz beruht auf seinem Nutzen als Software für jeden Systemadministrator. Unter anderem kann Python bei der Ausführung von Servern, der Protokollierung und Überprüfung von Internetzwecken eine wunderbare Hilfe sein.
Wie war dieser Angriff durchführbar?
Schließlich war menschliches Versagen der Grund für diesen Angriff. Es begann, als es Angreifern gelang, in ein TeamViewer-Konto einzudringen, das dem Unternehmen des Opfers gehörte. Die Person hat einen Administratoreintrag erfahren und hatte keine Multi-Faktor-Authentifizierung (MFA) aktiviert.
Danach umfasste der Angriff die Ausnutzung einer administrativen VMware Hypervisor-Schnittstelle. ESXi-Server verfügen über eine integrierte SSH-Unterstützung, die als ESXi-Shell bezeichnet wird und die Administratoren bei Bedarf unterstützen und deaktivieren können. Dieser Angriff geschah, weil die ESXi-Shell-Unterstützung aktiviert war und dann weiter ausgeführt wurde.
In dem Bericht erklären die Forscher, dass ein Angriff auf das System einen laufenden Shell-Anbieter offengelegt hat, der direkt nach der Verwendung hätte deaktiviert werden müssen. Im Wesentlichen wurden die Tore zu jedem einzelnen Betriebsprogramm des Opfers offen gelassen.
Die IT-Mitarbeiter der betroffenen Organisation wandten regelmäßig die ESXi-Shell an, um den Server zu verwalten, und erlebten, dass die Shell in den Monaten vor dem Angriff mehrmals aktiviert und deaktiviert wurde. Auf der anderen Seite gelang es ihnen beim letzten Aktivieren der Shell nicht, sie später zu deaktivieren. Die Kriminellen machten sich dies zunutze und waren in der Lage, auf alle virtuellen Laufwerke des Opfers zuzugreifen und diese zu verschlüsseln.
Wären die Stabilitätsempfehlungen des VMware-Verfahrens eingehalten worden, wäre das Verfahren sicher gewesen oder es wäre zumindest für Angreifer schwieriger gewesen, sich aufzuspalten und irgendwann den gesamten Prozess zu verschlüsseln.
Warum wurde Python angewendet?
Python wird immer bekannter, nicht nur als universelle Programmiersprache, sondern auch für die Verwaltung von IT-Systemen. Python wurde bei diesem Angriff verwendet, weil es problemlos war.
Da Python in vielen Linux-basierten Arbeitsumgebungen wie ESXi vorinstalliert ist, ist die Verwendung von Python in diesem Fall am sinnvollsten.
Im Wesentlichen nutzten die Angreifer die Anwendungen, die bereits in der Zusammensetzung des Angriffsziels vorhanden waren. Angreifer nutzten genau die Skripte, die das Ziel inzwischen für seine alltäglichen Verwaltungsaufgaben einsetzte.
Der Punkt, dass Python als systemübergreifendes Tool verwendet wurde, erklärt, wie die Malware in nur 10 Minuten bereitgestellt wurde. Dies verdeutlicht auch, warum es von Wissenschaftlern als "ungewöhnlich schnell" bezeichnet wurde, alle wichtigen Ressourcen warteten auf der Website auf die Angreifer.
Ausrichtung auf ESXi-Server und virtuelle Geräte
ESXi-Server sind ein attraktives Ziel für Ransomware-Kriminelle, da sie viele digitale Geräte angreifen können und jedes einzelne der digitalen Geräte eine Reihe von unternehmenswichtigen Anwendungen oder Expertendiensten ausführen kann.
Damit ein Angriff produktiv ist, müssen Bedrohungsakteure auf das kritische Wissen des Unternehmens zugreifen. In diesem Szenario hat das Unternehmen vor der Ankunft der Angreifer alles weniger als nur einen Schirm gruppiert. Aus diesem Grund wird die Rendite der finanziellen Investition aus dem Angriff maximiert, und ESXi-Server sind ein hervorragendes Ziel.
Kostbare Klassen verstehen
VMware rät davon ab, die ESXi-Shell laufen zu lassen, ohne dass sie überwacht wird, und kann auch Vorschläge zu Prozessprivilegien machen, die in diesem Fall nicht eingehalten wurden. Das Auferlegen sehr einfacher Stabilitätsmethoden könnte Angriffe wie diese stoppen oder sie zumindest besonders schwer machen.
Als Sicherheitsgrundregel in der IT-Technikverwaltung gilt: Je deutlich weniger das System exponiert ist, desto weniger muss gesichert werden. Die ursprüngliche Einrichtung der Technik und die Standardkonfiguration sind für die Sicherheit des Erstellungsprogramms nicht ausreichend.
Wenn die ESXi-Shell deaktiviert wurde, nachdem die Administratoren ihre Arbeit abgeschlossen hatten, wäre dies nicht so einfach geschehen. Administratoren waren daran gewöhnt, die ESXi-Shell als respektables Gateway zur Steuerung der digitalen Geräte der Kunden zu verwenden, und handelten daher nachlässig und versäumten es, das Gate auf dem Weg nach draußen zu schließen.
Ein weiterer Teil dieser Situation, über den man aus administrativer Sicht nachdenken sollte, ist die Sichtbarkeit der Weltdateigeräte. Alle Faktenpartitionen des Opfers waren nur in seinem internen Dateisystem verfügbar. Wir wissen, dass die Verschlüsselung Datei für Datei abgeschlossen wurde. Die Kriminellen fügten jeder einzelnen Datei die notwendige Verschlüsselung hinzu und überschrieben den primären Dateiinhalt. Ein weitaus sorgfältigerer Verfahrensadministrator könnte den Detailbereich aus den Anwendungen herauslösen und zwischen ihrem Wissensspeicher und dem Rest des Programms aufteilen.
Das Hinzufügen einer Multi-Issue-Autorisierung für Konten mit einer höheren Berechtigungsstufe würde auch Opportunity-Angreifer abschrecken, aber MFA wird von Direktoren für den häufigen, täglichen Gebrauch im Allgemeinen nicht begrüßt.
Es darf nicht unterschätzt werden, dass der Besitz der geeigneten Behandlungen es ermöglicht, langfristige Angriffe zu verhindern. Insgesamt hat dies viel mehr mit Methodensicherheit und -verwaltung zu tun als mit Python. In diesem Szenario war Python einfach das am bequemsten zu verwendende Werkzeug, und es gab Angreifern Zugriff auf alle digitalen Maschinen.
Piotr Landowski, Service Shipping Supervisor, STX Demnächst