試圖保持警惕:以 Python 為中心的勒索軟件攻擊
已發表: 2022-01-04
今年早些時候,Sophos 的科學家確定了一系列新的勒索軟件,這些勒索軟件由 Python 編程語言組成。 攻擊的目標是 VMware ESXi 託管的虛擬設備 (VM),對數字磁盤進行加密並使其全部脫機。
顯然,發現的勒索軟件異常快速,並且有可能在幾個小時內加密消費者信息。 實際上,在 Sophos 科學家發現的場景中,攻擊只用了 3 個小時。
在一份關於這一發現的報告中,Sophos 的一位首席研究員觀察到 Python 是一種不常用於勒索軟件的編碼語言。 根據 BlackBerry 分析與智能部門最近的一份報告,惡意軟件更常見於使用 Go、DLang、Nim 和 Rust 等語言。 也就是說,它通常在很大程度上取決於攻擊者關注的系統。
Python 編程語言
首先,了解在勒索軟件中使用 Python 的重要性非常重要。 Python 是一種資源開放、功能全面、功能強大的腳本語言。 就其作為程序管理員的使用而言,它能夠使用模塊來啟用連續執行的工作。
正如 BlackBerry 的研究人員所熟知的那樣,攻擊者通常偏愛那些存在時間較早、不為人知且未經分析的語言。 另一方面,Python 是當今最流行的編程語言之一,並在 30 年前於 1991 年推出。它之所以被接受是因為它對任何系統管理員都有利。 在其他項目中,Python 可以為運行服務器、記錄和篩選 Internet 目的提供極好的幫助。
這種攻擊如何可行?
最後,人為錯誤是這次襲擊的導火索。 它始於攻擊者設法破解屬於受害者企業的 TeamViewer 帳戶。 此人經歷了管理員輸入,並且未啟用多因素身份驗證 (MFA)。
此後,攻擊包括對管理 VMware Hypervisor 界面的利用。 ESXi 服務器具有稱為 ESXi Shell 的內置 SSH 支持,管理員可以在需要時提供幫助和禁用它。 之所以會發生這種攻擊,是因為 ESXi shell 輔助已啟用,然後仍在運行。
在報告中,研究人員宣稱攻擊系統會暴露一個正在運行的 shell 提供程序,該提供程序應該在使用後立即被禁用。 從本質上講,受害者的每一個操作程序的大門都被打開了。
受害組織的 IT 員工定期應用 ESXi Shell 來處理服務器,並在攻擊前的幾個月內多次啟用和禁用 shell。 另一方面,他們最後一次啟用 shell 時,他們後來沒有成功禁用它。 犯罪分子利用了這一點,能夠訪問並加密受害者的所有虛擬磁盤。
如果遵循 VMware 程序穩定性建議,該程序將是安全的,或者至少對於攻擊者來說,拆分並在某些時候加密整個過程會更加棘手。
為什麼要應用 Python?
Python 正逐漸廣為人知,不僅作為通用編程語言,而且作為 IT 系統管理。 在這次攻擊過程中使用了 Python,因為它沒有麻煩。
由於 Python 已預先安裝在許多以 Linux 為中心的工作單元(例如 ESXi)中,因此在這種情況下使用 Python 是最有意義的。
本質上,攻擊者利用了僅構成攻擊目標的應用程序。 攻擊者利用了目標現在用於其日常管理職責的確切腳本。
Python 被用作系統擴展工具這一點解釋了惡意軟件是如何在短短 10 分鐘內部署的。 這也澄清了為什麼它被科學家標記為“異常快”,所有重要資源都在網站上等待攻擊者。
以 ESXi 服務器和虛擬設備為目標
ESXi 服務器對於勒索軟件犯罪分子來說是一個有吸引力的目標,因為它們可以立即攻擊許多數字機器,並且每個數字設備都可以運行許多企業重要的應用程序或專家服務。
為了使攻擊富有成效,威脅參與者將需要訪問企業的關鍵知識。 在這種情況下,在攻擊者到來之前,以前所經歷的對企業的關注不僅僅只是一把雨傘。 出於這個原因,攻擊的財務投資回報機會最大化,而 ESXi 服務器成為了極好的目標。
了解珍貴的課程
VMware 不建議讓 ESXi shell 運行而不對其進行監控,並且還可以就在這種情況下不遵守的進程特權提出建議。 採用非常簡單的穩定方法可以阻止此類攻擊,或者至少使它們變得更加困難。
作為 IT 技術管理中的基本安全規則:系統暴露的越少,需要保護的就越少。 原始技術設置和默認配置不足以保證創建程序的安全。
如果 ESXi Shell 在管理員完成操作後就被禁用,那麼就不會那麼方便了。 管理員已經習慣於使用 ESXi Shell 作為一個受人尊敬的網關來控制客戶的數字設備,因此行為粗心,沒有在他們離開時關上大門。
從管理的角度考慮這種情況的另一部分是全局文件設備的可見性。 受害者的所有事實分區僅在其內部文件系統中可用。 我們知道加密是逐個文件完成的。 犯罪分子將必要的加密附加到每個單獨的文件並覆蓋了主要文件內容。 更細心的程序管理員可以將詳細信息區域從應用程序中分離出來,並將其分配給他們的知識存儲和程序的其餘部分。
為具有更高權限階段的帳戶添加多問題授權也將阻止機會攻擊者,但董事們通常不歡迎每天頻繁使用 MFA。
不能低估擁有適當的治療方法將能夠阻止長期攻擊。 總的來說,與 Python 相比,這與方法安全性和管理的關係要大得多。 在這種情況下,Python 只是最方便使用的工具,它讓攻擊者獲得了對所有數字機器程序的廣泛訪問。
Piotr Landowski,服務運輸主管, STX Upcoming