Analisis Teknis:
Skrip shell melakukan berbagai operasi, seperti mengubah file konfigurasi, mengenkripsi file, membuat persistensi untuk catatan ransomware, dan menghapus malware dari server ESXi. Blog ini memberikan wawasan teknis tentang skrip shell dan muatan ransomware.
Memodifikasi File Konfigurasi
Skrip Shell pertama-tama mengidentifikasi file konfigurasi mesin virtual yang berjalan di server ESXi menggunakan ‘esxcli vm process list’ – perintah dan mengubah jalur ke disk virtual dan menukar file. Malware menggantikan kemunculan ‘.vmdk’ dengan ‘1.vmdk’ dan ‘.vswp’ dengan ‘1.vswp’.
Dengan mengganti nama file dalam file konfigurasi, ransomware mempersulit korban untuk menemukan dan memulihkan data asli setelah enkripsi. Setelah mengubah file konfigurasi, skrip shell mengakhiri file .VMX di server ESXi menggunakan perintah ‘kill -9 $(ps | grep vmx | awk ‘{print $2}’)’.
Mengenkripsi File
Sekarang, skrip jahat memiliki kendali penuh atas file untuk memulai proses enkripsi. Pertama, Ini beralih melalui volume yang ada di server ESXi dan mencari file dengan ekstensi tertentu, termasuk ‘.vmdk’, ‘.vmx’, ‘.vmxf’, ‘.vmsd’, ‘.vmsn’, ‘.vswp’ , “.vmss”, “.nvram”, dan “.vmem” dalam volume yang ditemui.
Skrip kemudian menghitung ukuran file dan mulai mengenkripsinya menggunakan ‘encrypt’ yang dapat dieksekusi biner Linux dengan file argumen ‘public.pem’. File “public.pem” adalah kunci publik RSA yang digunakan oleh ransomware untuk mengenkripsi kunci yang akan digunakan untuk mengenkripsi file.
Persintensi
Setelah mengenkripsi file, skrip mencari file bernama ‘index.html’ di direktori ‘/usr/lib/vmware’ dan menggantinya dengan catatan tebusan. File ‘index.html’ asli diganti namanya menjadi ‘index1.html’, dan file ‘index.html’ baru dengan catatan tebusan disalin ke tempatnya, seperti yang ditunjukkan di bawah ini.
Skrip juga menggantikan file ‘/etc/motd’ asli dengan mengganti namanya menjadi ‘motd1’ dan kemudian menyalin catatan tebusan dari lokasi ‘$CLEAN_DIR/motd’ ke ‘/etc/motd’ secara efektif menggantikan file asli.
Mengganti file-file ini dengan catatan tebusan adalah taktik umum yang digunakan oleh ransomware untuk menampilkan catatan tebusan kepada pengguna saat masuk.
Pembersihan
Skrip menemukan semua file .log di direktori root dan menghapusnya secara rekursif untuk menghapus semua jejak yang dibuat oleh ransomware. Skrip sekarang memantau penyelesaian proses enkripsi dengan memeriksa nama proses yang sedang berjalan yang berisi string ‘enkripsi’.
Itu terus mengambil hitungan dari proses ini dan menunggu selama 0,1 detik jika hitungannya tidak sama dengan nol. Saat skrip mengidentifikasi bahwa tidak ada proses yang berjalan bernama ‘enkripsi’, skrip mengenali bahwa proses enkripsi telah selesai dan keluar dari loop.
Setelah itu, skrip memodifikasi dan menghapus file tertentu dari mesin korban. Menariknya, skrip tersebut menghapus file bernama ‘/store/packages/vmtools.py’, yang mirip dengan file backdoor Python yang didokumentasikan oleh Juniper pada Desember 2022.
Gambar di bawah menunjukkan potongan kode yang digunakan untuk pembersihan.
Ransomware Payload
Sampel hash (SHA256), 11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66, diambil untuk analisis ini. Berdasarkan analisis statis, kami menemukan bahwa file berbahaya tersebut adalah biner ELF terkompilasi gcc 64-bit, seperti yang ditunjukkan pada gambar di bawah.
Pemakaian
Malware mengambil beberapa argumen, termasuk kunci publik dan file yang akan dienkripsi, dan memiliki berbagai parameter opsional.
- encrypt [] [] []enc_step – number of MB to skip while encryptionenc_size – number of MB in encryption blockfile_size – file size in bytes (for sparse files)
Setelah dieksekusi, ransomware melakukan beberapa langkah untuk mengenkripsi file sistem, seperti:
- init_libssl()
- get_pk_data()
- create_rsa_obj()
- encrypt_file()
Ransomware menginisialisasi perpustakaan libssl dan kemudian menggunakan fungsi get_pk_data() untuk mendapatkan data kunci publik. Data ini kemudian diproses menggunakan fungsi create_rsa_obj() untuk membentuk kunci publik RSA. Fungsi encrypt_file() mengimplementasikan enkripsi file dengan memanfaatkan enkripsi RSA bersama dengan algoritma “Sosemanuk Stream Cipher”.
Fungsi encrypt_file() selanjutnya memanggil fungsi “encrypt_simple()” untuk melakukan proses enkripsi. Gambar di bawah menunjukkan potongan kode dari fungsi encrypt_file().
Gambar di bawah menunjukkan potongan kode dari fungsi encrypt_simple() menggunakan Sosemanuk_encrypt() untuk enkripsi.
Setelah file dienkripsi, korban ditampilkan dengan catatan tebusan, yang menginstruksikan mereka untuk menghubungi penyerang melalui TOX_ID mereka untuk memulihkan file yang dienkripsi atau mencegahnya bocor, seperti yang ditunjukkan di bawah ini.
Kesimpulan
Threat Actors (TAs) menggunakan kerentanan yang telah teridentifikasi sebelumnya, CVE-2021-21974, untuk meluncurkan serangan ransomware di server VMware ESXi. Serangan EXSI Args melibatkan penggunaan file skrip shell ‘encrypt.sh’ yang menjalankan ‘enkripsi’ ELF yang dapat dieksekusi, yang menyebabkan enkripsi file. Telah dilaporkan bahwa hampir 1.000 server ESXi telah terpengaruh oleh ransomware ESXi Args secara global.
CRIL akan terus memantau ESXi Args dan memperbarui pembaca kami tentang perkembangan lebih lanjut. Kami juga akan memantau setiap Ransomware terkait atau serupa untuk terus memperbarui pembaca kami tentang TTP yang digunakan, temuan kami, dan rekomendasi untuk menghindari menjadi korban.
Rekomendasi
- Sangat disarankan agar pengguna dan administrator versi tertentu dari produk VMware ESXi memperbarui ke versi terbaru sesegera mungkin karena kerentanan yang memengaruhi versi ini.
- Melakukan pemindaian sistem lengkap untuk mengidentifikasi potensi pelanggaran keamanan sangat disarankan. Selain itu, pengguna dan administrator harus mengevaluasi apakah layak untuk mematikan port 427, yang menjadi target serangan ransomware, tanpa memengaruhi fungsi normal sistem.
- Periksa apakah file ‘vmtools.py’ ada di lokasi ‘/store/packages/’. Jika sudah ditemukan, disarankan untuk segera menghapus file tersebut.
- Lakukan praktik pencadangan rutin dan simpan pencadangan tersebut secara offline atau di jaringan terpisah.
- Nyalakan fitur pembaruan perangkat lunak otomatis di komputer, ponsel, dan perangkat lain yang terhubung jika memungkinkan dan pragmatis.
- Instal perangkat lunak anti-virus dan keamanan Internet terkemuka di semua perangkat yang terhubung, termasuk komputer pribadi, laptop, dan ponsel.
- Hapus semua perangkat yang terinfeksi yang terhubung ke jaringan yang sama dan putuskan sambungan perangkat penyimpanan eksternal jika terhubung.
MITRE ATT&CK® Techniques
Indicators of Compromise (IOCs)
