ESXiArgsランサムウェア攻撃:リスクとデータ保護
通常、ランサムウェアはWindowsを実行している物理コンピュータや仮想マシンを標的とし、macOSやLinuxを標的とするケースは比較的少ない。しかし残念ながら、サイバー犯罪者たちは、新たに発見された脆弱性を悪用して他のオペレーティングシステムに感染させるランサムウェアの新バージョンを開発し続けている。最近の例としては、ESXiの脆弱性を悪用してVMwareハイパーバイザーを攻撃したESXiランサムウェア攻撃が挙げられる。 世界中の組織で深刻な業務停止を引き起こしている.
このブログ記事では、ランサムウェア攻撃がいかに危険であるか、ランサムウェアがESXiホストに感染する仕組み、およびESXi Argsランサムウェアを含むランサムウェアからの防御方法について解説しています。
ESXiランサムウェア攻撃の始まり
ESXiを対象としたランサムウェア攻撃の最初の事例は、VMwareがESXi 6.5および6.7の一般サポートを終了した2022年10月に確認された。A 多数のESXiホスト フランス、ドイツ、米国、カナダ、英国、およびその他の国々で感染が確認された。2023年2月時点で、データが暗号化され、復旧手段がない状態で感染したESXiホストは3,000台以上に上った。 ESXiホストを攻撃したランサムウェアの名称には、ESXiArgs、Royal、Cl0pなどがある。さらに、RansomEXX、Lockbit、BlackBasta、Cheerscrypt、Hive、RedAlert/N13Vなど、新たなESXiランサムウェアのファミリーも登場した。
ESXiホストが攻撃者にとって魅力的な理由は、 サーバーの仮想化 人気が高まり、多くの組織が本番環境で仮想マシンを利用しています。その結果、ランサムウェアの作成者たちは、巨額の利益を得ることを狙って、VMware ESXiを標的としたランサムウェア攻撃に注力しています。1台のESXiホストに感染させることで、攻撃者はそのホスト上に存在する複数の仮想マシンのデータを暗号化または破壊することが可能になります。この手法は、異なるオペレーティングシステムを実行している可能性のある仮想マシン(VM)を個別に感染させるよりも、より効果的である場合があります。 ESXi Argsランサムウェア攻撃は、Windows以外のサーバーを対象としたランサムウェア攻撃としては最大規模のものの1つでした。
どのバージョンのESXiがESXiランサムウェアの脆弱性の影響を受けますか?
ESXiランサムウェアは、CVE-2022-31699、CVE-2021-21995、CVE-2021-21974、CVE-2020-3992、およびCVE-2019-5544を含む、さまざまな脆弱性を悪用します。
ESXi Argsランサムウェアは、CVE-2021-21974を利用してESXiホストに感染します。これは2021年に発見された脆弱性であり、まだパッチが適用されていない、または更新されていないESXiホストで発生する可能性があります。これは、ESXi上で実行されるOpenSLPサービスにおけるヒープオーバーフローの脆弱性です。 CVE-2021-21974 に対するパッチは 2021 年 2 月 21 日に公開されました。
以下の ESXi バージョンは CVE-2021-21974 の影響を受けます:
- ESXi 7.x(ESXi70U1c-17325551以前のバージョン)
- ESXi 6.7.x(ESXi670-202102401-SG 以前のバージョン)
- ESXi 6.5.x(ESXi650-202102101-SG以前のバージョン)
なぜこれほど多くのパッチ未適用のサーバーが存在し、しかもインターネットからアクセス可能だったのでしょうか?パッチの適用にはESXiサーバーの停止が必要であり、ホスト数が多いため、一部の管理者には、期限内にパッチを適用するためのリソースや時間が不足していた可能性があります。さらに、ESXi Argsランサムウェア攻撃以前は、ESXiの脆弱性が広く悪用されることはありませんでした。そのため、パッチ未適用のESXiサーバーは脅威ではないという錯覚が生じ、サーバーへのパッチ適用は遅々として進みませんでした。
ホスティングプロバイダー企業で稼働していたESXiサーバーも、ESXi Argsランサムウェアに感染しました。ホスティングプロバイダーは顧客にインフラストラクチャを提供し、顧客は仮想マシンを実行するためにESXiハイパーバイザーをインストールしていました。これらのESXiサーバーは顧客によってインターネットに公開されていたため、攻撃者がアクセスすることが可能でした。攻撃者は被害者に約23,000ドル相当のビットコインを支払うよう要求しました。
ESXiランサムウェアはどのように動作するのでしょうか?
サイバー犯罪者は、脆弱性のあるESXiホスト、特にインターネットに公開されているホストを標的にしています。この攻撃手法は、OpenSLPの脆弱性(おそらくCVE-2021-21974)を悪用するものであることが確認されています。OpenSLPではポート427(TCP/UDP)が使用されます。ログからは、 dcui この侵害プロセスにおけるユーザー。このESXiランサムウェアの脆弱性により、攻撃者はリモートで任意のコードを実行することが可能になります。
暗号化プロセスでは、マルウェアによって展開された公開鍵が使用されており、その場所は /tmp/public.pem具体的には、この暗号化処理の対象となるのは、仮想マシンファイルであり、これには “.vmdk、” “.vmx、” “.vmxf、” “.vmsd、” “.vmsn、” “.vswp、” “.vmss、” “.nvram、” 、および “.vmem、” といった拡張子を持つファイルが含まれます。なお、 ” については、vmdk” file は仮想ディスク記述子ファイルであり、 “-flat.vmdk” は 仮想ディスクファイル VMデータを含む。ESXi Argsランサムウェアは、 ” を作成します。引数” 暗号化された各ファイルに対応するメタデータを含むファイル(おそらく、ランサムウェアの作成者は、 ” を想定しているのだろう)。引数” (復号化にはファイルが必要になる場合があります)。
以下にその手順を詳しく示します:
- サーバーが侵害された場合、以下のファイルが /tmp ディレクトリ:
- 暗号化 ELF形式の実行可能暗号化プログラムを表します。
- encrypt.sh これは、攻撃の実行ロジックとして機能します。これは、以下に示すように、暗号化ツールを実行する前にさまざまな処理を行うシェルスクリプトです。
- public.pem これは、ファイルの暗号化を担う鍵を暗号化するために使用される公開RSA鍵です。
- 本日のトピック は、複製されたテキスト形式の身代金要求書であり、 /etc/motd、ログイン時に確実に表示されるようにします。サーバー上の元のファイルは、 /etc/motd1.
- index.html これは、VMware ESXiのホームページを置き換えるように設計された身代金要求メッセージのHTML版です。元のサーバーファイルは、以下の名前でバックアップしておく必要があります。 “index1.html” 同じディレクトリ内に。
- 暗号化プログラムはシェルスクリプトによって起動され、その際、一連のコマンドライン引数が渡されます。これらの引数には、RSA公開鍵ファイル、暗号化の対象ファイル、変更しないデータ部分、暗号化ブロックサイズ、およびファイル全体のサイズが含まれます。
使用方法: 暗号化 <公開鍵> <暗号化対象ファイル> [<enc_step>] [<enc_size>] [<ファイルサイズ>]
場所:
- enc_step ファイルの暗号化時にスキップするMB数です
- enc_size は、暗号化ブロックの容量(MB単位)です
- ファイルサイズ (スパースファイルの場合)ファイルサイズ(バイト単位)
- この暗号化ツールの起動は、 encrypt.sh 攻撃の基盤となるロジックとして機能するシェルスクリプト。実行されると、このスクリプトは以下のアクションを実行します。その概要を以下に簡単に説明します。
- ESXiランサムウェアスクリプトは、ESXi仮想マシンの設定ファイルを変更するコマンドを実行します(.vmx) において、 ” の出現箇所を置き換える。vmdk” および “。vswp” ~とともに “1.vmdk” そして “1.vswp“、それぞれ。
- その後、ランサムウェアのスクリプトは、以下のコマンドを実行して、現在稼働中のすべての仮想マシンを強制的に終了させます。 “kill -9” ""という単語を含むプロセスを停止するコマンド “vmx“.
- このランサムウェアは、VMXプロセスを強制終了させて仮想マシンをシャットダウンし、ロックされたファイルを解放して改変しようとします。しかし、この機能は常に期待通りに動作するわけではなく、一部のファイルがロックされたままになることがあります。VMファイルが改変されると、仮想マシンは使用できなくなります。
- スクリプトは、次のコマンドを使用してESXiボリュームのリストを取得します:
esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}このコマンドにより、ランサムウェアはこれらのボリュームをスキャンし、特定のファイル拡張子を持つファイルを探します。
- 検出されたファイルごとに、スクリプトは対応する [file_name].args 同じディレクトリ内のファイル。これは .args このファイルには、ステップ(通常は"1")やファイルサイズなど、計算されたパラメータが含まれています。例えば、ファイルが “VM01.vmx“、関連する “VM01.vmx.args” ファイルが作成されます。このマルウェアは、暗号化されたバイナリに渡される引数を保存するために、 “argsfile” というファイルを作成します。このファイルには、スキップするメガバイト数、暗号化ブロックのサイズ、ファイルサイズなどの情報が含まれます。
- その後、スクリプトは “暗号化” 計算されたパラメータに基づいてファイルを暗号化する実行ファイル。
- 暗号化後、スクリプトはESXiを置き換えます “index.html” ファイルとサーバーの “本日のトピック” 前述の通り、前述の身代金要求書が添付されたファイル。
データが外部へ流出(データ流出)した形跡は見られない。場合によっては、ファイルの暗号化が部分的にしか完了せず、被害者が一部のデータを復元できる可能性がある。
感染とデータの改ざん・暗号化が正常に完了すると、HTMLページ上に次のようなランサムウェアのメッセージが表示されました:
“セキュリティ警告!弊社は貴社へのハッキングに成功しました。
…
3日以内に送金してください。さもなければ、一部の情報を公開し、価格を引き上げます.”
- その後、スクリプトはログの削除や、以下の場所にあるPythonバックドアの削除など、クリーンアップ作業を実行します。 /store/packages/vmtools.pyまた、特定のファイルから特定の行を削除します:
- /bin/hostd-probe.sh
- /var/spool/cron/crontabs/root
- /etc/rc.local.d/local.sh
- /etc/vmware/rhttpproxy/endpoints.conf
警告が発表され、管理者に対し、以下の点を確認するよう強く求められています。 “vmtools.py” ESXiホスト上にそのファイルが存在します。見つかった場合は、直ちに削除することをお勧めします。
- 最後に、スクリプトが実行されます “/sbin/auto-backup.sh” に保存されている設定を更新するには “/bootbank/state.tgz” ファイルを保存し、SSHを有効にします。
また、この脆弱性は、ESXiArgs以外のランサムウェアグループによっても、ESXiの他の脆弱性とともに積極的に悪用されていることが判明した。
注: VMware ESXiランサムウェアの挙動は、ランサムウェアのバージョンアップや新種のランサムウェアの出現に伴い変化する可能性があります。
ESXi Argsランサムウェア感染後のデータ復旧方法
暗号化メカニズムには、暗号化されたファイルを復号化できるようなバグは存在しません。しかし、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、仮想マシンの復旧に役立つスクリプトを作成しました。幸いなことに、仮想ディスク記述子(.vmdk)、は暗号化されていますが、 -flat.vmdk ファイル(VMデータが保存されている場所)は暗号化されません。これにより、VMの復旧が可能になります。
CISAは、ESXi Argsランサムウェアの影響を受けた組織を支援するために設計された復旧スクリプトを公開しました。このランサムウェアはESXiサーバーを標的とし、その設定ファイルを暗号化することで、仮想マシン(VM)を動作不能にする可能性があります。このツールはVMwareと共同で開発されましたが、VMwareによる直接的なサポートは提供されていません。お客様がこのツールの使用中に問題が発生した場合は、以下のGitHubアドレスにて問題を報告することをお勧めします: https://github.com/cisagov/ESXiArgs-Recover/issues.
CISAは、懸念事項に迅速に対応し、解決することに尽力しています。スクリプトの使用に関する詳細については、以下をご参照ください。 このリンク.
また、以下の方法も利用できます PDF文書をダウンロードする 手順はこちら。
ESXiホストがESXiランサムウェアに感染した兆候が見られる場合は、以下の対策をご検討ください:
- 感染したESXiホストをネットワークから切り離してください。
- 身代金を支払ってはいけません。身代金を支払うことは、サイバー犯罪者を助長し、より多くの金銭を得るためにさらなるランサムウェアを作成する動機を与えてしまいます。身代金を支払ったとしても、VMware ESXiランサムウェアによって破損したファイルが復元される保証はありません。
- ランサムウェア攻撃を報告してください。ランサムウェアの報告は、迅速な対応、法令遵守、データ保護、信頼の維持、脅威の軽減、そしてサイバー攻撃に対する共同防御を可能にするため、重要です。ランサムウェア攻撃の報告は、サイバーセキュリティインシデント管理の根幹をなすものです。これは、個々の組織が攻撃から復旧するのを助けるだけでなく、デジタルエコシステムの全体的なセキュリティとレジリエンスの向上にも寄与します。
- 現在のバージョンのランサムウェアに対して、復旧ツールや復号ツールが利用可能かどうかを確認してください。
- 復号ツールがない場合は、 バックアップからデータを復元する (この方法を利用するには、ランサムウェア攻撃を受ける前にバックアップを作成しておく必要があります)。場合によっては、バックアップから仮想マシンを復元する方が効果的なこともあります。例えば、 ESXiの新規インストール そして、復元したVMをその新しいESXiホストにコピーし、復元したVMが配置されるホストにランサムウェアの感染痕跡が残っていないことを確認します。
ESXiをランサムウェアから守る方法
ESXiをランサムウェアから保護するには、以下の推奨事項に従ってください:
- CVE-2021-21974、CVE-2022-31699、CVE-2021-21995、CVE-2020-3992、およびCVE-2019-5544などの脆弱性があるESXiホストにパッチを適用してください。 お使いのESXiのバージョンがサポート対象外となっている場合は、サポートされているメジャーバージョンへの更新をご検討ください。ESXiを更新できない場合は、 OpenSLPを無効にする ESXi上の(Service Location Protocol)サービス。影響を受けるESXiバージョンにおいて脆弱性があるサービスを無効化することも有効です。
- セキュリティパッチを適用する 最新の脅威から保護するため、ESXiホストの(更新)を定期的に行ってください。
- ESXiホストをインターネットに公開しないでください。業務上、従業員やパートナーがインターネット経由でESXiホストにアクセスする必要がある場合は、VPNサーバーとファイアウォールを設定してください。ファイアウォールは、信頼できるIPアドレスからのアクセスのみを許可するように設定してください。この場合、VPN経由でネットワークに接続してESXiホストにアクセスすることは安全です。
- SSHアクセスが必要ない場合は無効にするか、タイムアウトを設定してください。
- SMB v1.0 やその他の旧バージョンのプロトコルは、特に使用していない場合は無効にしてください。
- ネットワークのセグメンテーションを使用し、以下を含む ESXi管理ネットワーク.
- 8文字以上で、小文字、大文字、数字、特殊文字を含む強力なパスワードを使用してください。
- インストールと設定 インフラ監視 ネットワークトラフィックやサーバーの負荷を監視するためです。監視を行うことで、不審な活動や悪意のある活動を早期に検知することができます。
- ユーザーに対し、ランサムウェア対策について周知徹底し、ランサムウェア攻撃や攻撃の試みがあったと疑われる場合にどう対応すべきかを確実に理解させておく。
- 設定 マルウェア対策メール保護 メールで悪意のあるリンクやファイルを送信することは、コンピュータをランサムウェアに感染させる一般的な手口だからです。メール本文内のアクティブなハイパーリンクを無効にしてください。
- ユーザーのコンピュータおよびサーバーにウイルス対策ソフトをインストールする。ウイルス対策ソフトのウイルス定義データベースを定期的に更新する。
- 仮想マシンを定期的にバックアップし、 3-2-1バックアップ戦略. 忘れずに 変更不可能なバックアップ または、ランサムウェア攻撃が発生した場合でもこのバックアップが影響を受けないように、エアギャップ方式のバックアップを用意しておく。 ESXiのバックアップ そして vCenterのバックアップ データやワークロードの復旧において、時間を節約するのに役立ちます。
- 準備する インシデント対応計画 そして、ESXiへのランサムウェア攻撃が発生した場合の対処法を全員に周知してください。
- 作成する 災害復旧計画 さまざまな状況下でデータを復旧し、ワークロードを復元できるようにするためです。バックアップのテストと 災害復旧テスト は重要です。
結論
ESXiランサムウェアは、たった1台のESXiホストが感染しただけで多数の仮想マシンが失われる可能性があるため、甚大な被害をもたらす恐れがあります。ランサムウェア攻撃によるデータ損失を防ぐには、データのバックアップが最も効果的な対策です。本ブログ記事の前半で解説した、ESXiをランサムウェアから保護するための推奨事項に従ってください。 NAKIVO Backup & Replication VMware ESXiホスト上に存在するVMを、不変のリポジトリにバックアップします。これにより、ランサムウェアに耐性のあるこれらのバックアップを活用して、VM全体やアプリケーションデータの迅速な復旧が可能になります。
