试图保持警惕:以 Python 为中心的勒索软件攻击
已发表: 2022-01-04
今年早些时候,Sophos 的科学家确定了一系列新的勒索软件,这些勒索软件由 Python 编程语言组成。 攻击的目标是 VMware ESXi 托管的虚拟设备 (VM),对数字磁盘进行加密并使其全部脱机。
显然,发现的勒索软件异常快速,并且有可能在几个小时内加密消费者信息。 实际上,在 Sophos 科学家发现的场景中,攻击只用了 3 个小时。
在一份关于这一发现的报告中,Sophos 的一位首席研究员观察到 Python 是一种不常用于勒索软件的编码语言。 根据 BlackBerry 分析与智能部门最近的一份报告,恶意软件更常见于使用 Go、DLang、Nim 和 Rust 等语言。 也就是说,它通常在很大程度上取决于攻击者关注的系统。
Python 编程语言
首先,了解在勒索软件中使用 Python 的重要性非常重要。 Python 是一种资源开放、功能全面、功能强大的脚本语言。 就其作为程序管理员的使用而言,它能够使用模块来启用连续执行的工作。
正如 BlackBerry 的研究人员所熟知的那样,攻击者通常偏爱那些存在时间较早、不为人知且未经分析的语言。 另一方面,Python 是当今最流行的编程语言之一,并在 30 年前于 1991 年推出。它之所以被接受是因为它对任何系统管理员都有利。 在其他项目中,Python 可以为运行服务器、记录和筛选 Internet 目的提供极好的帮助。
这种攻击如何可行?
最后,人为错误是这次袭击的导火索。 它始于攻击者设法破解属于受害者企业的 TeamViewer 帐户。 此人经历了管理员输入,并且未启用多因素身份验证 (MFA)。
此后,攻击包括对管理 VMware Hypervisor 界面的利用。 ESXi 服务器具有称为 ESXi Shell 的内置 SSH 支持,管理员可以在需要时提供帮助和禁用它。 之所以会发生这种攻击,是因为 ESXi shell 辅助已启用,然后仍在运行。
在报告中,研究人员宣称攻击系统会暴露一个正在运行的 shell 提供程序,该提供程序应该在使用后立即被禁用。 从本质上讲,受害者的每一个操作程序的大门都被打开了。
受害组织的 IT 员工定期应用 ESXi Shell 来处理服务器,并在攻击前的几个月中多次启用和禁用该 shell。 另一方面,他们最后一次启用 shell 时,他们后来没有成功禁用它。 犯罪分子利用了这一点,能够访问并加密受害者的所有虚拟磁盘。
如果遵循 VMware 程序稳定性建议,该程序将是安全的,或者至少对于攻击者来说,拆分并在某些时候加密整个过程会更加棘手。
为什么要应用 Python?
Python 正逐渐广为人知,不仅作为通用编程语言,而且作为 IT 系统管理。 在这次攻击过程中使用了 Python,因为它没有麻烦。
由于 Python 已预先安装在许多以 Linux 为中心的工作单元(例如 ESXi)中,因此在这种情况下使用 Python 是最有意义的。
本质上,攻击者利用了仅构成攻击目标的应用程序。 攻击者利用了目标现在用于其日常管理职责的确切脚本。
Python 被用作系统扩展工具这一点解释了恶意软件是如何在短短 10 分钟内部署的。 这也澄清了为什么它被科学家标记为“异常快”,所有重要资源都在网站上等待攻击者。
以 ESXi 服务器和虚拟设备为目标
ESXi 服务器对于勒索软件犯罪分子来说是一个有吸引力的目标,因为它们可以立即攻击许多数字机器,并且每个数字设备都可以运行许多企业重要的应用程序或专家服务。
为了使攻击富有成效,威胁参与者将需要访问企业的关键知识。 在这种情况下,在攻击者到来之前,以前所经历的对企业的关注不仅仅只是一把雨伞。 出于这个原因,攻击的财务投资回报机会最大化,而 ESXi 服务器成为了极好的目标。
了解珍贵的课程
VMware 不建议让 ESXi shell 运行而不对其进行监控,并且还可以就在这种情况下不遵守的进程特权提出建议。 采用非常简单的稳定方法可以阻止此类攻击,或者至少使它们变得更加困难。
作为 IT 技术管理中的基本安全规则:系统暴露的越少,需要保护的就越少。 原始技术设置和默认配置不足以保证创建程序的安全。
如果 ESXi Shell 在管理员完成操作后就被禁用,那么就不会那么方便了。 管理员已经习惯于使用 ESXi Shell 作为一个受人尊敬的网关来控制客户的数字设备,因此他们的行为粗心大意,没有在他们离开时关上大门。
从管理的角度考虑这种情况的另一部分是全局文件设备的可见性。 受害者的所有事实分区仅在其内部文件系统中可用。 我们知道加密是逐个文件完成的。 犯罪分子将必要的加密附加到每个单独的文件并覆盖了主要文件内容。 更细心的程序管理员可以将详细信息区域从应用程序中分离出来,并将其分配给他们的知识存储和程序的其余部分。
为具有更高权限阶段的帐户添加多问题授权也可以阻止机会攻击者,但董事们通常不欢迎每天频繁使用 MFA。
不能低估拥有适当的治疗方法将能够阻止长期攻击。 总的来说,与 Python 相比,这与方法安全性和管理的关系要大得多。 在这种情况下,Python 只是最方便使用的工具,它让攻击者获得了对所有数字机器程序的广泛访问。
Piotr Landowski,服务运输主管, STX Upcoming