Một mã độc tấn công Backdoor Python mới chưa từng ghi nhận trước đây nhắm vào các máy chủ VMware ESXi đã được phát hiện, nó cho phép tin tặc thực thi các lệnh từ xa trên hệ thống bị xâm nhập.
VMware ESXi là một nền tảng ảo hóa (Virtualization platform) thường được sử dụng trong doanh nghiệp để lưu trữ nhiều máy chủ trên một thiết bị đồng thời sử dụng tài nguyên CPU và bộ nhớ hiệu một cách quả hơn.
Tấn công Backdoor mới được phát hiện bởi các nhà nghiên cứu của Juniper Networks , họ đã tìm thấy tấn công Backdoor trên máy chủ VMware ESXi. Tuy nhiên, họ không thể xác định cách máy chủ bị xâm phạm do giới hạn lưu giữ nhật ký.
Họ tin rằng máy chủ có thể đã bị xâm phạm bằng cách khai thác các lỗ hổng CVE-2019-5544 và CVE-2020-3992 trong dịch vụ OpenSLP của ESXi.
Mặc dù về mặt kỹ thuật, phần mềm độc hại này cũng có khả năng nhắm mục tiêu vào các hệ thống Linux và Unix, nhưng các nhà phân tích của Juniper đã tìm thấy nhiều dấu hiệu cho thấy nó được thiết kế riêng để tấn công hệ thống máy chủ ESXi.
Cách thức hoạt động của mã độc
Mã độc tấn công Backdoor Python mới này thêm bảy dòng vào bên trong “/etc/rc.local.d/local.sh”, một trong số ít tệp ESXi tồn tại giữa các lần khởi động lại và được thực thi trong quá trình khởi động.
Thông thường, các tệp đó trống, ngoài một số comment và exit statement.
Các dòng bổ sung được thêm vào tệp lệnh trên ESXi (Juniper Networks)
Một trong những dòng đó khởi chạy tập lệnh Python được lưu dưới dạng “/store/packages/vmtools.py,” trong thư mục lưu trữ hình ảnh đĩa VM, nhật ký, v.v.
Tên và vị trí của tập lệnh khiến Juniper Networks tin rằng những kẻ sử dụng phần mềm độc hại có ý định nhắm mục tiêu cụ thể vào các máy chủ VMware ESXi.
“Mặc dù tập lệnh Python được sử dụng trong cuộc tấn công này là đa nền tảng và có thể được sử dụng mà không cần hoặc ít phải sửa đổi trên Linux hoặc các hệ thống tương tự UNIX khác, nhưng có một số dấu hiệu cho thấy cuộc tấn công này được thiết kế đặc biệt để nhắm mục tiêu vào ESXi,” Juniper Networks giải thích trong báo cáo .
Tên của tệp và vị trí của tệp, /store/packages/vmtools.py, đã được xác định là tập lệnh đáng lo ngại nhất đối với máy chủ ảo hóa. Tệp lệnh Python này được bắt đầu với nội dung về bản quyền của VMware có sẵn đã được công khai và được lấy chính xác từng ký tự do VMware cung cấp.
Tập lệnh sẽ khởi chạy một máy chủ web bằng bất kỳ lệnh POST Request nào được bảo vệ bằng mật khẩu từ các những kẻ tấn công. Các yêu cầu này có thể mang theo các dòng lệnh base-64 được mã hóa hoặc reverse shell trên máy chủ. (Một loại session shell, reverse shell là một session shell có kết nối bắt nguồn từ 1 máy chủ đóng vai trò là target đến 1 máy chủ khác đóng vai trò host. Ngoài ra còn có web shell, bind shell,..).
Reverse shell làm cho máy chủ bị xâm nhập bắt đầu kết nối với tác nhân đe dọa bằng một kỹ thuật giúp gỡ bỏ qua các hạn chế của tường lửa hoặc hoạt động hạn chế kết nối mạng.
Một trong những phương thức tấn công được các nhà phân tích của Juniper ghi nhận là thay đổi cấu hình proxy HTTP ngược của ESXi để cho phép truy cập từ xa giao tiếp với máy chủ web đã cài đặt.
Bởi vì tệp lệnh được sử dụng để thiết lập cấu hình mới này, “/etc/vmware/rhttpproxy/endpoints.conf,” đều được sao lưu và khôi phục ngay sau khi khởi động lại, nên mọi sửa đổi trên tệp đều được kiểm soát.
Phát hiện và hạn chế khả năng tấn công của mã độc
Để xác định xem máy chủ ESXi của bạn có bị tấn công bởi Backdoor này hay không, hãy kiểm tra các tệp được đề cập ở trên và các dòng bổ sung trong tệp “local.sh”.
Tất cả các tệp lệnh cấu hình để khởi động lại phải được xem xét kỹ lưỡng để tìm những thay đổi đáng ngờ và khôi phục về cài đặt ban đầu một cách chính xác.
Cuối cùng, là quản trị viên nên giới hạn kết nối của máy chủ đến với những kết nối đáng tin cậy và sử dụng các bản cập nhật bảo mật sẵn có để phát hiện và xử lý các dấu hiệu xâm nhập của mã độc càng sớm càng tốt.
(Theo Bill Toulas)
Xem thêm bài viết:
Khám phá 20 khóa học bảo mật miễn phí từ EC-Council (Cyber Security)