نوشته‌ها

بازیابی سرور ESXI بعد از حمله باج افزار

بازیابی سرور  ESXI

همانطور که تکنولوژی به تکامل خود ادامه می دهد، خطرات امنیتی مرتبط با آن نیز افزایش می یابد. اخیراً چندین آسیب پذیری حیاتی در VMware ESXi کشف شده است که یک پلتفرم مجازی سازی محبوب است که به طور گسترده در محیط های سازمانی استفاده می شود. آسیب‌پذیری‌هایی که با نام‌های CVE-2022-31696، CVE-2022-31697، CVE-2022-31698، و CVE-2022-31699 تعیین می‌شوند، می‌توانند به طور بالقوه منجر به اجرای کد از راه دور (RCE) در سیستم‌های آسیب‌دیده شوند.

این آسیب‌پذیری‌ها می‌توانند به مهاجم اجازه دهند تا کد دلخواه را روی یک میزبان راه دور اجرا کند، که به طور بالقوه سیستم را به خطر می‌اندازد و منجر به سرقت اطلاعات و سایر فعالیت‌های مخرب می‌شود. در برخی موارد، مهاجم حتی می‌تواند کنترل کاملی بر سیستم آسیب‌دیده به دست آورد که منجر به تأثیر قابل توجهی بر امنیت و ثبات سیستم‌های آسیب‌دیده می‌شود.

نسخه‌های آسیب‌پذیر VMware ESXi شامل ۶.۷ و ۶.۵ می‌شوند و لازم به ذکر است که این آسیب‌پذیری‌ها توسط VMware اصلاح شده‌اند. به کاربران بسیار توصیه می شود که سیستم های خود را در اسرع وقت به روز کنند تا خطر سوء استفاده را کاهش دهند. برای محافظت بیشتر در برابر حملات RCE، پیروی از بهترین شیوه ها برای امنیت شبکه و به روز نگه داشتن تمام سیستم ها با آخرین وصله های امنیتی نیز مهم است.

در پایان، آسیب‌پذیری‌های اخیر در VMware ESXi بر اهمیت هوشیاری و فعال ماندن در مورد امنیت تاکید می‌کند. با انجام اقدامات لازم برای محافظت از سیستم ها و داده های خود، می توانید از ایمنی و امنیت سازمان خود اطمینان حاصل کنید. مطلع باشید و ایمن بمانید.

بازیابی سرور ESXI

در ابتدا به شما برای جلوگیری از این حملات، یک راه حل بسیار ساده و کارآمد پیشنهاد میکنیم…

اگر سرور شما هنوز به خطر نیفتاده است باید از آن محافظت کنید. این اکسپلویت با استفاده از سرویس SLP در زیر هود کار می کند، بنابراین بهتر است فعلاً آن را به روش زیر غیرفعال کنید.

در ابتدا از طریق SSH به سرور Esxi خود متصل شوید و دستورات زیر را اجرا نمایید :


۱

[novinweb@ESXi:~] /etc/init.d/slpd stop
[novinweb@ESXi:~] esxcli network firewall ruleset set -r CIMSLP -e 0
[novinweb@ESXi:~] chkconfig slpd off


این دستور مجموعه قوانین فایروال را برای سرویس “CIMSLP” در میزبان ESXi غیرفعال می کند. “مجموعه قوانین فایروال شبکه esxcli” یک ابزار خط فرمان برای مدیریت قوانین فایروال در میزبان ESXi است. گزینه “-r” نام مجموعه قوانین فایروال را برای تغییر مشخص می کند و گزینه “-e” وضعیت فعال مجموعه قوانین را تعیین می کند. مقدار “۰” به این معنی است که مجموعه قوانین فایروال غیرفعال است، در حالی که مقدار “۱” به معنای فعال بودن آن است.

از تاریخ ۰۳.۰۲.۲۰۲۳، نسخه‌های ESXi 6.x به دلیل آسیب‌پذیری در معرض ویروس CryptoLocker قرار گرفتند و سرورهای مجازی غیرقابل استفاده شدند. برای کاربرانی که این مورد را تجربه کرده اند و با فایل های vmdk رمزگذاری شده مواجه شده اند، به شما خواهیم گفت که چگونه سرور مجازی را بازیابی کنید. این ویروس فایل های کوچکی مانند .vmdk .vmx را رمزگذاری می کند اما فایل server-flat.vmdk را که دارای حجم بالایی هستند را نمی تواند بدرستی  رمزگذاری کند، البته طبق اطلاعاتی که منایع مختلف بدست آوردیم فایل هایی که حجم آنها کمتر از ۵ گیگابایت باشند کماکان در خطر هستند . در ساختار ESXi، داده های واقعی در flat.vmdk نگهداری می شوند. ما به شما می گویم که چگونه با استفاده از flat.vmdk یک نسخه بازگشتی ایجاد کنید. اول از همه، وقتی وارد سرور ESXi خود می‌شوید، یک اخطار در SSH مانند این مشاهده خواهید کرد.

پس از اجرای دستوری که در قبل گفته شد و از کار انداختن پورت مورد نظر در ابتدا سرور خود را ری استارت کنید تا تغییرات لازم انجام پذیرد و سپس مجددا از طریق SSH به سرو esxi خود متصل شده و وارد مسیر و فولدر سرور مجازی که میخواهید آن را ریکاور نمایید شوید. برای اینکارز میتوانید از دستورات زیر استفاده نمایید :


۲

[novinweb@ESXi:~] cd /vmfs/volumes/[datstore-name]/[vm-name]

توجه :

[datestore-name] نام دیتا استور (همان هارد دیسک متصل به سرور) می باشد که در سرور شما با نامی که خود شما قبلا تعیین کردید قرار خواهد داشت که در صورت هک شدن سرور نام آن به شکلی مانند ۶۰۹۴xxx تغییر پیدا کرده است. پیشنهاد میکنیم با نرم افزار Winscp و نرم افزار Putty بصورت هم زمان به سرور خود متصل شوید تا بخشی از کارهای لازم را توسط Winscp انحام دهید.

[vm-name] نام سرور مجازی شما که قصد بازیابی آن را دارید میباشد.

پس از ورود به آدرس سرور مجازی خود با دستور زیر اقدام به دریافت لیست فایل های موجود در فولدر مورد نظر نمایید :

[novinweb@ESXi:~] ls -la

در اینجا اندازه فایل flat.vmdk را خواهیم گرفت. که در مثال ما  ۶۴۴۲۴۵۰۹۴۴۰ نمایش داده میشه. بررسی اندازه این فایل را حتما با نرم افزار Putty و توسط دستور قید شده انجام دهید.


۳

اکنون فایل .vmdk موجود را با تایپ دستور زیر حذف کنید

[novinweb@ESXi:~] rm -rf xxx.vmdk

توجه: فایل xxx.vmdk را حذف کنید. هرگز xxx-flat.vmdk را حذف نکنید.

پبشنهاد میکنیم این مرحله را با استفاده از Winscp انجام بدید که اشتباها فایل دیگری را پاک نکنید!


۴

سپس دستور زیر را تایپ کنید. توجه داشته باشید که عدد ۶۴۴۲۴۵۰۹۴۴۰ در اینجا سایز فایل -flat.vmdk بمی باشد و سایز فایل شما متفاوت خواهد بود که با دستور ls -la در مراحل قبل بدست آوردید.

[novinweb@ESXi:~] vmkfstools -c 64424509440 -d thin temp.vmdk


۵

حالا وقتی وارد پوشه سرور مجازی خود می شوید دو فایل جدید با نام های temp.vmdk و temp-flat.vmdk را می بینید.


۶

temp.vmdk را با notepad باز کنید، مانند تصویر زیر خواهد بود. در خط ۹ می گوید “temp-flat.vmdk”. ما آن را با -flat.vdmk اصلی جایگزین می کنیم. نام اصلی flat.vmdk ما ۱۸۵.۸۸.۱۷۲.۱۷-flat.vmdk بود، بنابراین من آن را مطابق با آن ویرایش می کنم. من همچنین کد  ddb.thinProvisioned = “1” را در خط ۱۹ حذف می کنم.

ما خط ۹ را به “۱۸۵.۸۸.۱۷۲.۱۷-flat.vmdk” ویرایش کرده و کد ddb.thinProvisioned = “1” را در خط ۱۹ حذف کردم. نسخه نهایی مانند تصویر پایین می باشد.


۷

سپس به FTP برگردید و temp-flat.vmdk را حذف کنید. نام فایل temp.vmdk را به همان flat.vmdk تغییر دهید. اسم flat.vmdk ما ۱۸۵.۸۸.۱۷۲.۱۷-flat.vmdk بود. بنابراین من نام فایل temp.vmdk را به ۱۸۵.۸۸.۱۷۲.۱۷.vmdk تغییر دادم و فقط خط -flat از نام این فایل حذف کردم.

بعد از انجام این موارد فایل های شما بصورت زیر خواهد بود :


۸

سپس فایل vmx. را ویرایش می کنیم. از آنجایی که فایل vmx. فعلی شما رمزگذاری شده است، نسخه پشتیبان آن به صورت .vmx~ باقی می ماند. نام فایل در FTP من ۱۸۵.۸۸.۱۷۲.۱۷.vmx~ است. من آن را با notepad باز می کنم، همه کدها را می گیرم و آنها را در vmx. اصلی قرار می دهم (به ۱۸۵.۸۸.۱۷۲.۱۷.vmx)


۹

سپس به FTP برگردید و فایل .vmsd را حذف کنید، این فایل رمزگذاری شده و خراب است، نیازی به آن ندارید.


۱۰

به صفحه SSH برگردید و کد زیر را وارد نمایید :

[novinweb@ESXi:~] vmkfstools -e xxxx.vmdk

توجه : در انتهای این کد باید نام فایل vmdk خود را وارد نمایید.


۱۱

سپس وارد datastore در ESXi شده و روی xxx.vmx در پوشه ای که ویرایش کردید کلیک راست کرده و Register VM را بزنید. اگر VM از قبل وجود دارد، ابتدا در قسمت Virtual Machines روی آن کلیک راست کرده و آن را Unregister کنید، یعنی آن را از رابط ESXi حذف کنید، سپس روی vmx. راست کلیک کرده و آن را Register VM کنید.

توجه : سرور مجازی خود را Delete نکنید و فقط unregister نمایید.

پس از ثبت یک VM، سرور مجازی شما در قسمت ماشین های مجازی ESXi ظاهر می شود و می توانید آن را باز کرده و از آن استفاده کنید.

پس از اتمام این فرآیندها، دسترسی SSH را در سرور خود غیر فعال نمایید و همچنین ESXi خود را با آخرین پچهای موجود امنیتی، بروزرسانی نمایید.


امیدواریم تا با استفاده از این روش بتوانید سرورهای خود را بازیابی و مجددا فعال نمایید. ممکن هست در برخی موارد به دلیل نبودن فایل بک آپ vxd~ نتوانید سرور را راه اندازی مجدد کنید و فایل های روی آن سرور برای شما دارای اهمیت بالایی باشد، خبر خوب اینکه بزودی در مورد بدست آوردن آن فایل ها از سرور مجازی از دست رفته مطلبی را قرار خواهیم داد :) 

حمله به سرورهای ESXi برای انتشار باج‌افزار و راه حل آن

حمله به سرورهای ESXi 

منابع امنیتی هشدار داده‌اند که مهاجمان با سوءاستفاده از ضعف امنیتی CVE-2021-21974، به‌طور گسترده در حال رخنه به سرورهای VMware ESXi و در ادامه آلوده‌سازی ماشین‌های مجازی بر روی آنها به باج‌افزار هستند.

CVE-2021-21974 در ۵ اسفند ۱۳۹۹ توسط شرکت وی‌ام‌ور (VMware) راه اندازی شد. این آسیب‌پذیری، ضعفی از نوع Heap-overflow است که سرویس OpenSLP در ESXi از آن متأثر می‌شود و بهره‌جویی موفق از آن در نهایت مهاجم را قادر به «اجرای کد دلخواه» (Execution of Arbitrary Code) می‌کند.

برخی منابع گزارش کرده‌اند که در جریان این حملات، مهاجمان از باج‌افزار Nevada برای رمزگذاری ماشین‌های مجازی استفاده می‌کنند. Nevada است که به زبان Rust برنامه‌نویسی شده و نخستین نسخه آن حدود دو ماه پیش شناسایی شد. گردانندگان این باج‌افزار، در تالارهای گفتگو در دارک‌وب به زبان‌های روسی و انگلیسی از مهاجمان دیگر و «دلال‌های دسترسی اولیه» (Initial Access Broker – به اختصار IAB) دعوت به همکاری می‌کنند.

در عین حال، منابع امنیتی دیگری نیز باج‌افزار مورداستفاده مهاجمان این حملات به سرورهای ESXi را ESXiArgs معرفی کرده‌اند.

به راهبران توصیه می‌شود جهت در امان ماندن از این تهدیدات ضمن محدودسازی دسترسی به سرویس SLP به نشانی‌های IP مجاز، اقدام به ارتقای ESXi کنند.

مرکز CISA ایالات متحده در تاریخ ۱۸ بهمن ۱۴۰۱ اقدام به انتشار ابزاری برای بازگردانی فایل‌های رمزگذاری شده توسط باج‌افزار ESXiArgs نموده که جزئیات آن در نشانی زیر قابل مطالعه است:

https://www.cisa.gov/uscert/ncas/current-activity/2023/02/07/cisa-releases-esxiargs-ransomware-recovery-script

 

چنانچه سرور ESXI شما در هر کدام از دیتا سنترهای داخلی و خارجی مورد این حمله قرارگرفته و سرورهای مجازی شما از دسترس خارج شده است، پیشنهاد میکنیم به مطب بازیابی سرور های ESXI مراجعه و مراحل قید شده را انجام دهید.

شروع گفتگو
1
پشتیبانی در واتس آپ
سلام،
چطوری میتونم کمکتون کنم ؟