Пытаясь быть начеку: атаки программ-вымогателей, ориентированных на Python
Опубликовано: 2022-01-04
Ранее в этом году ученые Sophos определили новый широкий спектр программ-вымогателей, написанных на языке программирования Python. Атака была нацелена на виртуальное оборудование (VM), размещенное на VMware ESXi, с шифрованием цифровых дисков и отключением их всех.
Судя по всему, обнаруженный вымогатель необычайно быстр и может зашифровать информацию о пользователе всего за несколько часов. На самом деле, по сценарию, раскрытому учеными Sophos, атака длилась всего 3 часа.
В отчете об открытии главный исследователь Sophos отметил, что Python — это язык кодирования, который редко используется для программ-вымогателей. Согласно недавнему отчету подразделения BlackBerry Analysis & Intelligence, вредоносное ПО гораздо чаще работает с такими языками, как Go, DLang, Nim и Rust. Это объясняется тем, что обычно это во многом зависит от системы, на которой сосредоточился злоумышленник.
Язык программирования Python
Прежде всего, важно контекстуализировать значение использования Python в программах-вымогателях. Python — это надежный язык сценариев с широким набором функций и открытым исходным кодом. Что касается его использования в качестве администратора процессов, он может использовать модули для выполнения заданий, которые выполняются непрерывно.
Как известно исследователям BlackBerry, злоумышленники обычно предпочитают языки, которые моложе в своем существовании, а также малоизвестные и не проанализированные. Python, с другой стороны, является одним из самых популярных языков программирования, используемых в настоящее время, и был запущен 30 лет назад в 1991 году. Его признание связано с тем, что он полезен в качестве программного обеспечения для любого системного администратора. Помимо прочего, Python может оказать замечательную помощь при запуске серверов, ведении журналов и просмотре веб-приложений.
Как эта атака была осуществима?
Наконец, причиной этого нападения стала человеческая ошибка. Это началось, когда злоумышленникам удалось взломать учетную запись TeamViewer, принадлежащую компании-жертве. У человека была входная запись администратора, и у него не была включена многофакторная проверка подлинности (MFA).
После этого атака включала использование административного интерфейса VMware Hypervisor. Серверы ESXi имеют встроенную поддержку SSH, называемую оболочкой ESXi, которую администраторы могут помочь и отключить по мере необходимости. Это нападение произошло из-за того, что поддержка оболочки ESXi была включена, а затем продолжала работать.
В отчете исследователи заявляют, что атака на систему выявила запущенный шелл-провайдер, который должен был быть отключен сразу после использования. По сути, ворота каждой операционной программы жертвы оставались открытыми.
ИТ-сотрудники организации-жертвы регулярно применяли оболочку ESXi для управления сервером и несколько раз включали и отключали оболочку за несколько месяцев до атаки. С другой стороны, в последний раз, когда они включили оболочку, им не удалось отключить ее позже. Преступники воспользовались этим и смогли получить доступ и, следовательно, зашифровать все виртуальные диски жертвы.
Если бы рекомендации VMware по стабильности процедуры были соблюдены, процедура была бы безопасной или, по крайней мере, злоумышленникам было бы сложнее разделить и в какой-то момент зашифровать весь процесс.
Почему был применен Python?
Python становится все более известным не только как язык программирования общего назначения, но и как язык администрирования ИТ-систем. В ходе этой атаки использовался Python, потому что он был беспроблемным.
Поскольку Python предварительно установлен на многих операционных системах, ориентированных на Linux, таких как ESXi, использование Python в этом случае имеет смысл.
По сути, злоумышленники использовали уже существующие приложения только для создания объекта атаки. Злоумышленники использовали тот же сценарий, что и цель, которая к этому моменту уже использовалась для выполнения своих повседневных административных обязанностей.
Тот факт, что Python использовался как системный инструмент, объясняет, как вредоносное ПО было развернуто всего за 10 минут. Это также объясняет, почему ученые назвали его «необычно быстрым», все важные ресурсы ждали злоумышленников на сайте.
Ориентация на серверы ESXi и виртуальные устройства
Серверы ESXi являются привлекательной целью для преступников-вымогателей, поскольку они могут одновременно атаковать множество цифровых машин, и на каждом отдельном цифровом устройстве может работать ряд важных для предприятия приложений или экспертных служб.
Чтобы атака была продуктивной, злоумышленникам необходимо получить доступ к критически важным бизнес-знаниям. В этом сценарии концентрация на корпорации ранее сгруппировала все это меньше, чем один зонт до прибытия злоумышленников. По этой причине возможность возврата финансовых вложений от атаки максимальна, а серверы ESXi являются отличной мишенью.
Понимание драгоценных классов
VMware не рекомендует оставлять оболочку ESXi работающей без ее мониторинга, а также может вносить предложения по всем привилегиям процесса, которые не были соблюдены в этом случае. Применение очень простых методов стабилизации может остановить подобные атаки или, по крайней мере, сделать их более сложными.
В качестве основного правила безопасности в администрировании ИТ-технологий: чем меньше система раскрывает, тем меньше нужно защищать. Первоначальная установка метода и конфигурация по умолчанию не подходят для обеспечения безопасности программы создания.
Если бы оболочка ESXi была отключена сразу после того, как администраторы завершили свою работу, это было бы не так удобно. Администраторы привыкли использовать ESXi Shell в качестве респектабельного шлюза для управления цифровыми устройствами клиентов и поэтому действовали небрежно, не закрывая шлюз на выходе.
Еще одна часть этой ситуации, о которой следует подумать с административной точки зрения, — это видимость мировых файловых устройств. Все разделы с фактами жертвы были доступны только во внутренней файловой системе. Мы знаем, что шифрование было завершено файл за файлом. Преступники прикрепили необходимое шифрование к каждому отдельному файлу и перезаписали основное содержимое файла. Более внимательный администратор процедуры мог бы отделить область сведений от приложений и разделить ее между их хранилищем знаний и остальной частью программы.
Добавление многозадачной авторизации для учетных записей с более высоким уровнем привилегий также избавит от возможности злоумышленников, но MFA, как правило, не приветствуется директорами для частого ежедневного использования.
Просто нельзя недооценивать тот факт, что наличие соответствующих методов лечения позволит предотвратить долгосрочные атаки. Итого, это гораздо больше связано с безопасностью и администрированием методов, чем с Python. В этом случае Python был просто самым удобным инструментом, и он давал злоумышленникам доступ ко всем цифровым машинам.
Петр Ландовски, супервайзер службы доставки, STX