警戒を怠らないようにする:Python中心のランサムウェア攻撃
公開: 2022-01-04
今年の初め、ソフォスの科学者たちは、Pythonプログラミング言語で作成された新しい幅広いランサムウェアを決定しました。 この攻撃は、VMware ESXiがホストする仮想機器(VM)を標的とし、デジタルディスクを暗号化してすべてオフラインにしました。
明らかに、見つかったランサムウェアは非常に高速であり、数時間の違いを生むだけで消費者情報を暗号化することができます。 実際には、ソフォスの科学者によって明らかにされたシナリオでは、攻撃にはわずか3、3時間しかかかりませんでした。
発見に関するレポートで、ソフォスの主任研究者は、Pythonがランサムウェアに頻繁に使用されないコーディング言語であることに気づきました。 BlackBerryのAnalysis&Intelligence部門からの最近のレポートによると、マルウェアは通常、Go、DLang、Nim、Rustなどの言語で動作するようになっています。 つまり、通常、攻撃者が注目しているシステムに大きく依存します。
Pythonプログラミング言語
まず第一に、ランサムウェアでのPythonの使用の重要性を文脈化することが重要です。 Pythonは、オープンリソースで、包括的な機能を備えた、堅牢なスクリプト言語です。 手順管理者としての利用のフレーズでは、モジュールを使用して、継続的に実行されるジョブを有効にすることができます。
BlackBerryの研究者によって有名なように、攻撃者は一般に、存在が若く、かなり知られていない、分析されていない言語を好みます。 一方、Pythonは、今日採用されている最も人気のあるプログラミング言語の1つであり、1991年に30数年前にリリースされました。その受け入れは、システム管理者にとってのソフトウェアとしての利点によるものです。 他の項目の中で、Pythonはサーバーの実行、インターネットの目的のログ記録とスクリーニングに非常に役立ちます。
この攻撃はどのように実行可能でしたか?
最後に、ヒューマンエラーがこの攻撃の原因でした。 これは、攻撃者が被害者のビジネスに属するTeamViewerアカウントに侵入したときに始まりました。 その人は管理者エントリを経験し、多要素認証(MFA)が有効になっていませんでした。
その後の攻撃には、管理用のVMwareハイパーバイザーインターフェイスの悪用が含まれていました。 ESXiサーバーには、ESXiシェルと呼ばれるSSHサポートが組み込まれており、管理者は必要に応じて支援したり無効にしたりできます。 この攻撃は、ESXiシェルアシスタンスが有効になっていて実行されたままであるために発生しました。
レポートでは、研究者は、システムを攻撃すると、使用直後に無効にされているはずの実行中のシェルプロバイダーが公開されたと宣言しています。 本質的に、犠牲者のすべての運営プログラムへの門は開かれたままでした。
被害を受けた組織のIT従業員は、サーバーを処理するためにESXiシェルを定期的に適用し、攻撃の数か月前に何度もシェルの有効化と無効化を経験しました。 一方、最後にシェルを有効にしたとき、後で無効にすることはできませんでした。 犯罪者はこれを利用して、被害者のすべての仮想ディスクにアクセスして暗号化する立場にあります。
VMwareの手順の安定性に関する提案が守られていれば、手順は安全であったか、少なくとも攻撃者が分割してプロセス全体を暗号化するのはさらに困難でした。
なぜPythonが適用されたのですか?
Pythonは、汎用プログラミング言語としてだけでなく、ITシステム管理でも次第に有名になりつつあります。 Pythonは、手間のかからないという理由で、この攻撃の過程で利用されました。
Pythonは、この種のESXiのようなLinux中心の多くの作業ユニットに事前に組み込まれているため、この機会にPythonを使用するのが最も理にかなっています。
基本的に、攻撃者は、攻撃の標的の構成だけにすでに存在するアプリケーションを利用しました。 攻撃者は、標的が現在の日常業務に使用している正確なスクリプトを利用しました。
Pythonがシステム拡張ツールとして利用されたという点は、マルウェアがわずか10分でどのように展開されたかを説明しています。 これはまた、科学者によって「異常に速い」とラベル付けされた理由を明らかにし、すべての重要なリソースがWebサイトで攻撃者を待っていました。
ESXiサーバーと仮想デバイスをターゲットにする
ESXiサーバーは、すぐに多くのデジタルマシンを攻撃でき、デジタルデバイスの各個人が企業にとって重要な多数のアプリケーションや専門家のサービスを機能させる可能性があるため、ランサムウェア犯罪者にとって魅力的な目標です。
攻撃を生産的にするためには、脅威の攻撃者はビジネスの重要な知識にアクセスする必要があります。 このシナリオでは、攻撃者が到着する前に、以前に経験した企業への集中により、1つの傘よりもすべてがグループ化されていました。 そのため、攻撃による金銭的投資の見返りは最大化され、ESXiサーバーは優れたターゲットになります。
貴重なクラスを理解する
VMwareは、ESXiシェルを監視せずに実行したままにすることをお勧めしません。また、この状況で順守されなかったプロセス特権に関する提案を行うこともできます。 非常に単純な安定性の方法を課すことは、これらのような攻撃を阻止するか、少なくともそれらをさらに困難にする可能性があります。
IT技術管理の基本的なセキュリティルールとして、システムが公開するものが大幅に少ないほど、セキュリティで保護されるものははるかに少なくなります。 元の手法のセットアップとデフォルトの構成は、作成プログラムの安全性には不十分です。
管理者が操作を完了した直後にESXiShellが無効になっているとしたら、それはそれほど便利ではありませんでした。 管理者は、ESXi Shellをクライアントのデジタルデバイスを制御するための立派なゲートウェイとして使用することに慣れていたため、不注意に行動し、途中でゲートを閉じることができませんでした。
管理の観点から考えるこの状況のもう1つの部分は、ワールドファイルデバイスの可視性です。 被害者のファクトパーティションはすべて、内部のファイルシステムでのみ利用可能でした。 暗号化がファイルごとに完了したことはわかっています。 犯罪者は、個々のファイルに不可欠な暗号化を添付し、プライマリファイルの内容を上書きしました。 はるかに注意深い手順管理者は、アプリケーションから詳細領域を分割し、それを知識ストレージとプログラムの残りの部分に分割することができます。
特権の段階が高いアカウントに多問題認証を追加すると、機会攻撃者をやめることもできますが、MFAは通常、毎日頻繁に使用するためにディレクターに歓迎されません。
適切な治療法を実施することで、長期的な攻撃を思いとどまらせることができると過小評価することはできません。 全体として、これはPythonよりもメソッドのセキュリティと管理に関係しています。 このシナリオでは、Pythonは使用するのに最も便利なツールであり、攻撃者はすべてのデジタルマシンの手順を幅広く入手できました。
Piotr Landowski、サービスシッピングスーパーバイザー、 STX近日公開