เมื่อวันอาทิตย์ที่ 5 ตุลาคม 2564 ได้เกิดเหตุการณ์การใช้ Ransomware ที่เขียนด้วย Python โจมตีไปยังองค์กรแห่งหนึ่งที่ใช้งาน VMware ESXi ซึ่งเป็นไฮเปอร์ไวเซอร์ และสามารถเข้ารหัส Virtual Machines ที่อยู่ภายในได้ โดยการดำเนินการดังกล่าว ตั้งแต่เริ่มการโจมตีจนสามารถเข้ารหัสข้อมูลเครื่องทั้งหมดได้ ใช้เวลาอย่างน้อย 3 ชั่วโมง โดยมีรายละเอียด Timeline ดังนี้

 

12:30 น. ผู้โจมตีสามารถเข้าถึงบัญชีโปรแกรม TeamViewer ด้วย Credential ของบุคคลภายในองค์กร
12:40 น. ผู้โจมตีใช้ Advance IP Scanner ในการค้นหาเน็ตเวิร์คของเหยื่อและค้นพบเซอร์วิสที่ทางองค์กรใช้ในการป้อนคำสั่งและอัปเดตระบบนั้นเปิดอยู่ (ปกติจะ Disable)
14:00 น. ผู้โจมตีใช้ SSH Client ที่ชื่อว่า Bitvise ในการเข้าสู่ระบบของตัว Vmware ESXi
15:50 น. ผู้โจมตีสามารถปล่อย Python Ransomware และเข้ารหัสข้อมูลในฮาร์ดไดฟ์เสมือนได้สำเร็จ

 

รายละเอียด script ที่ใช้โจมตี

 

สคริปต์  Python  จะใช้ฟังก์ชันคำสั่ง  vim-cmd  ของ  ESXi  Shell  เพื่อสร้างรายชื่อของ  VM ทั้งหมดที่ติดตั้งบนเซิร์ฟเวอร์ จากนั้นสั่งใหเ้ครื่องปิดตัวลงทั้งหมด หลังจากที่ปิด VM ทั้งหมดแล้ว สคริปต์

จะเริ่มเข้ารหัสไดรฟ์ข้อมูลของ Datastore

python ransomware

python ransomware

ผู้โจมตีจะรันสคริปต์ Python โดยใส่เป็นอาร์กิวเมนต์ของสคริปต์ไปยังไดรฟ์ข้อมูลดิสก์ของ Datastore แต่ละตัวจะมีดิสก์เสมือนและไฟล์การตั้งค่า VM อยู่หลายเครื่อง ซึ่งผู้โจมตีจะดำเนินการไปทีละเครื่อง ในส่วนของตัวโค้ด Ransomware จะใช้เพียงแค่คำสั่งเดียวสำหรับแต่ละไฟล์ที่ถูกเข้ารหัสแล้ว โดยเรียกใช้เครื่องมือโอเพนซอร์ส OpenSSL เพื่อเข้ารหัสไฟลด้วยคำสั่งดังนี้:

 

openssl rsautil -encrypt -inkey pubkey.txt -pubin -out [filename].txt

 

โดยขั้นตอนสุดท้ายจะเป็นการลบไฟล์ที่มีรายชื่อของไดเรกทอรีและชื่อของ VM และสคริปต์ทำการเขียนทับไฟล์เหล่านั้นก่อนที่จะทำการลบออก เพื่อเป็นการปิดบังร่องรอยให้ยากต่อการติดตาม

 

ทำไมต้องโจมตี ESXi?

VMware  ESXi  คือซอฟต์แวร์ที่ทำหน้าที่เป็นไฮเปอร์ไวเซอร์แบบที่ 1 ติดตั้งบนฮาร์ดแวร์เซิร์ฟเวอร์ โดยตรง เพื่อสร้างและควบคุมระบบปฏิบัติการเสมือนหรือเวอร์ชวลแมชชีน (Virtual Machine) สาเหตุในการตกเป็นเป้าหมายในการโจมตีครั้งนี้เนื่องมาจาก

  • Python จะมีการ Pre-install บนระบบที่มีรากฐานมาจาก Linux เช่น ESXi จึงทำให้การโจมตี ด้วย Python สามารถทำได้ง่ายบนระบบดังกล่าว
  • เซิร์ฟเวอร์ ESXi เป็นเป้าหมายที่น่าสนใจสำหรับการคุกคามด้วย Ransomware เนื่องจากสามารถโจมตี VM Guest หลายเครื่องพร้อมกันได้ โดยที่ VM แต่ละเครื่องอาจจะรันแอปพลิเคชันหรือบริการที่มีความสำคัญต่อธุรกิจอยู่
  • การโจมตีที่มีเป้าประสงค์ไปที่ Vmware ESXi นั้นไม่ใช่เรื่องแปลกใหม่อะไร เนื่องจากมีเหตุการณ์การโจมตีแบบนี้อยู่อย่างต่อเนื่อง เช่น REvil, HelloKitty และ DarkSide Ransomware

 

สาเหตุที่ทำให้องค์กรอาจถูกโจมตี
  • ถูก Phishing เพื่อขโมย Credential ในการเข้าสู่ระบบซอฟต์แวร์
  • ขาดการ Awareness Training ทำให้ไม่ตระหนักถึงภัยคุกคามที่อาจจะเกิดขึ้นกับระบบคอมพิวเตอร์ขององค์กร
  • ขาดการอัปเดตซอฟต์แวร์ ทำให้มีช่องโหว่ในการโจมตี
  • ไม่มีการตั้งค่าสิทธิ์การเข้าถึงของบัญชีพนักงาน แต่ละระดับ
  • ไม่ได้ปฏิบัติตาม Best practice หรือ Security baseline สำหรับ Admin (ผู้ดูแล) ตามที่ทาง VMware เผยแพร่ไปเมื่อวันที่ 24 กุมภาพันธ์ 2563

 

วิธีการป้องกัน
  • การตั้งค่าต่างๆ ของระบบควรปฏิบัติตาม Best practice หรือ Security baseline ของเจ้าของผลิตภัณฑ์ เพื่อเป็นการป้องกันภัยคุกคามหรือการโจมตีมายังช่องโหว่ที่เกิดจากการตั้งค่าที่ไม่ถูกต้อง
  • ควรติดตั้ง Endpoint Protection บน ESXi Server เพื่อช่วยในการป้องกันพฤติกรรมที่ผิดปกติ
  • มีการอบรม Awareness ด้านความปลอดภัยทางไซเบอร์แก่พนักงานภายในองค์กร เพื่อให้เกิดความตระหนักถึงภัยคุกคามรูปแบบต่าง ๆ และแนวทางในการป้องกัน
  • หลีกเลี่ยงการใช้รหัสผ่านซ้ำ หรือรหัสผ่านที่สามารถคาดเดาได้ง่าย
  • เปิดใช้งาน MFA ร่วมกับการใช้งาน User/Password เพื่อป้องกันการโจมตีแบบสุ่มรหัสผ่าน
  • งดเว้นการใช้งาน User ที่มีสิทธิ์สูงโดยไม่จำเป็น และควรมีระบบหรือกระบวนการในการตรวจสอบพฤติกรรมของผู้ใช้งาน เพื่อป้องกันภัยคุกคามประเภท Insider threat
  • การปิด Shell เมื่อไม่ได้ใช้งาน หรือให้ใช้งานจากช่องทางที่สามารถควบคุมได้
  • อัปเดตซอฟต์แวร์ที่ใช้งานภายในองค์กรเสมอ

บริการศูนย์เฝ้าระวังรักษาความมั่นคงปลอดภัยระบบเครือข่าย และเทคโนโลยีสารสนเทศ (Security Operation Center) ผู้เชี่ยวชาญพร้อมให้บริการคำปรึกษาและบริการด้าน Security ที่ครอบคลุมกฎหมาย พ.ร.บ. คอมพิวเตอร์ 2560พ.ร.บ. การรักษาความปลอดภัยมั่นคงไซเบอร์ 2562 และพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล 2562 สอบถามรายละเอียดเพิ่มเติม ติดต่อเรา

เอกสารอ้างอิง

https://threatpost.com/vmware-esxi-encrypted-python-script-ransomware/175374/

https://www.zdnet.com/article/new-python-ransomware-targets-virtual-machines- esxi-hypervisor-to-encrypt-disks/

https://cyware.com/news/this-new-python-based-ransomware-unfolds-attacks-in-record-time-74cfd97f

https://cescone0099.medium.com/vmware-esx-%E0%B8%84%E0%B8%B7%E0%B8%AD%E0%B8%AD%E0%B8%B0%E0%B9%84%E0%B8%A3-4572d364ce50