پرش به محتوای اصلی

حمله به سیستم های مجازی سازی و سرورهای لینوکس

حمله به سیستم های مجازی سازی و سرورهای لینوکس

سیستم های مبتنی بر لینوکس و ESXi به طور فزاینده ای قربانی حملات باج افزاری می شوند. بنابراین چگونه می توانید از سرورهای خود محافظت کنید؟

باج افزار (Ransomware). چگونه می توان دفاعی در برابر آن ایجاد کرد؟ در درجه اول باید از چه چیزی محافظت شود؟ اغلب، ایستگاه های کاری ویندوز، سرورهای اکتیو دایرکتوری و سایر محصولات مایکروسافت کاندیدهای اصلی هستند و این رویکرد معمولا توجیه می شود. اما باید در نظر داشته باشیم که تاکتیک های مجرمان سایبری به طور مداوم تغییر می کنند و ابزارهای مخرب برای سرورهای لینوکس و سیستم های مجازی سازی در حال توسعه هستند. در سال 2022، تعداد کل حملات به سیستم های لینوکس حدود 75 درصد افزایش یافت.

انگیزه ی چنین حملاتی روشن است: محبوبیت منبع باز و مجازی سازی در حال افزایش است، به این معنی که سرورهای بیشتری وجود دارد که لینوکس یا 1 VMware ESXi را اجرا می کنند. اینها اغلب اطلاعات حیاتی زیادی را ذخیره می کنند که اگر رمزگذاری شوند، فورا می توانند عملیات یک شرکت را مختل کنند. از آنجایی که امنیت سیستم های ویندوزی به طور سنتی مورد توجه بوده است، سرورهای غیر ویندوزی به راحتی می توانند هدف حمله قرار بگیرند.

حملات در 2022-2023
  • در فوریه 2023، بسیاری از سرورهای VMware ESXi توسط باج افزار ESXiArgs که از آسیب پذیری CVE-2021-21974 بهره برداری می کرد مورد حمله قرار گرفتند. مهاجمان ماشین‌ های مجازی را غیرفعال کرده و فایل‌ های vmxf , .vmx , .vmdk , .vmsd , .nvram. را رمزگذاری کردند.
  • گروه بدنام Clop، برای حمله در مقیاس بزرگ به سرویس‌ های انتقال فایل آسیب پذیر Fortra GoAnywhere از طریق CVE-2023-0669 مورد توجه قرار گرفت. این گروه در دسامبر 2022 با استفاده از نسخه لینوکس باج افزار خود (البته به صورت محدود) دیده شد. این حمله تفاوت قابل توجهی با همتای ویندوزی خود دارد (بدون برخی بهینه سازی ها و ترفندهای دفاعی)، اما با مجوزهای لینوکس و انواع کاربر سازگار است و به طور خاص پوشه های پایگاه داده اوراکل (Oracle) را هدف قرار می دهد.
  • نسخه جدیدی از باج افزار BlackBasta به طور ویژه برای حمله به هایپروایزرهای ESXi طراحی شده است. طرح رمزگذاری از الگوریتم ChaCha20 در حالت چند نخی که شامل چندین پردازنده است استفاده می کند. از آنجایی که مزارع ESXi معمولا چند پردازنده ای هستند، این الگوریتم زمان صرف شده برای رمزگذاری کل محیط را به حداقل می رساند.
  • اندکی قبل از فروپاشی، گروه هکرهای Conti نیز خود را به باج افزاری که ESXi را هدف حمله قرار می داد مسلح کردند. متاسفانه، با توجه به اینکه بسیاری از کدهای Conti به بیرون درز کرده است، توسعه آن ها اکنون در دسترس طیف گسترده ای از مجرمان سایبری است.
  • باج افزار BlackCat که به زبان Rust نوشته شده است، می تواند ماشین های مجازی ESXi را غیر فعال و حذف کند.
  • باج افزار Luna که در سال 2022 شناسایی شد، کراس پلتفرم بود و می توانست روی سیستم های ویندوزی، لینوکس و ESXi اجرا شود. و البته گروه LockBit به سختی می تواند این روند را نادیده بگیرد: این گروه هم همچنین شروع به ارائه نسخه های ESXi از بدافزار خود به شرکت های وابسته (Affiliates) کرد.
  • در مورد حملات قدیمی تر (اما، افسوس، موثر)، کمپین‌ های RansomEXX و QNAPCrypt نیز وجود داشتند که به سرورهای لینوکس ضربه بزرگی زدند.
تاکتیک های حمله به سرور

نفوذ به سرورهای لینوکس معمولا بر اساس بهره برداری از آسیب پذیری ها انجام می شود. مهاجمان می توانند آسیب پذیری ها را در سیستم عامل، سرورهای وب و سایر برنامه های اساسی و همچنین در برنامه های تجاری، پایگاه های داده و سیستم های مجازی سازی به سلاح تبدیل کنند. همانطور که سال گذشته توسط Log4shell نشان داده شد، آسیب پذیری در اجزای منبع باز نیاز به توجه ویژه ای دارد. پس از نقض اولیه، بسیاری از سویه های باج افزار از ترفندها یا آسیب پذیری های اضافی برای بالا بردن امتیازات و رمزگذاری سیستم استفاده می کنند.

حفاظت اولویت دار برای سرورهای لینوکس

برای به حداقل رساندن احتمال حملاتی که سرورهای لینوکس را تحت تاثیر قرار می دهند، توصیه می کنیم:

  • آسیب پذیری ها را فورا پچ کنید.
  • تعداد پورت ها و اتصالات باز اینترنت را به حداقل برسانید.
  • از راهکارهای امنیتی تخصصی مانند Kaspersky Hybrid Cloud Security در سرورها برای محافظت از سیستم عامل، ماشین های مجازی و کانتینرهای میزبانی شده در سرور استفاده کنید. Kaspersky Hybrid Cloud Security با تقویت سرورهای شرکتی احتمال قرار گرفتن در معرض حمله را کاهش می دهد و به کسب و کارها کمک می کند تا امنیت را در سیستم های جدید و قدیمی برقرار کنند.
    جهت دریافت استعلام قیمت و خرید لایسنس کسپرسکی هیبرید کلود سکیوریتی می توانید با کارشناسان شرکت ایده ارتباط تراشه تماس بگیرید.

1- ESXi آخرین ورژن از مجموعه نرم افزار VMware هایپروایزی است که بدون نیاز به سیستم عامل مستقیما روی سخت افزار سیستم اجرا می شود.

تبلیغات

طراحی و قالب سایت خانه و خانواده

مناسب برای مهد کودک و عروسی و مشاور خانواده
فروش ویژه پاییزی آنتی ویروس نود 32 و کسپرسکی
Logo-Samandehi Logo-Enamad