Ransomware ESXi

3 min readApr 20, 2024

** สวัสดีครับทีมงาน Cybersecurity ทุก ๆท่านครับ , วันนี้ Share เกี่ยวกับ Ransomware Attack VMware ESXi ครับ

คือ ตอนนี้คาดว่า หลาย ๆ องกรณ์หน้าจะโดนโจมตี ลักษณะนี้พอสมควรครับ ผมก็เลยสงสัยว่าจริง ๆแล้ว มันโดนได้ยังไง 555 และสงสัยว่าเราจะป้องกันได้ยังไง และ Attacker มันจะมีวิธีการโจมตีแบบนี้ได้ยังไง

ผมก็ไปเจอ URL:Crowdstrike ที่เขียนเกี่ยวกับ Ransomware ESXi Attack Path โดยมีรายละเอียดดังนี้

1. Compromise vCenter or ESXi admin Credentials

2.Log in to management

3.Enable SSH to the ESXi hypervisors

4.Change Password to Something known by the threat actor

5.Enumerate guest virtual machines on the ESXi Server to locate theire sentitive files

6.Shutdown the guest VMs

7.Use built-in tools to Encrypt the critical guest VM Virtual Hard drive and virtual memory files

Ransomware Attack Path (Ref: CrowdStrike)

* จากที่ผมได้เจอ เหตุการณ์จริง ๆ โดยโดนกับตัวเอง ประมาณ 5 ครั้ง ครึ่ง 555 [ที่ครึ่ง เพราะ ไปช่วย เพื่อน 555] ที่เกี่ยวข้องกับการโจมตี Ransomware Attack VMware ESXi และดำเนินการ Proof of concept ใน LAB ก็พบว่าขั้นตอนการโจมตี ตาม Attack Path ที่เหมือนกับ Crowdstrike Blog เลยครับ

ซึ่งที่เป็นที่รู้กันดีว่า VMware ESXi(VM Guest จะเป็น Infrastructure ภายในองกรณ์ ที่ Run Guest Server อยู่มากมาย ) และถ้า โดน Encryption ไปและ จบเลย นะครับ

คือ จริง ๆถ้าไม่มี Backup Solution ยังไง ก็คาดว่ายากครับ ที่จะ แก้ปัญหาตรงนี้ได้ครับ — — ใครจะกล้า โอน BTC ไปครับ .. โอนไปหายวัปปป เลยฮะ 5555.

และก็กลับมาคิดว่า เราจะป้องกัน ตรงนี้ได้อย่างไร “วิธีลูกทุ่ง ๆ ๆ นะครับ” — ผิดพลาดประการใด ก็ขออภัยไว้นะที่นี้ด้วยนะครับ 555

1. Backup Solution : https://community.veeam.com/.../3-2-1-1-0-golden-backup... (สำคัญเลยฮะ อันนี้..แต่ถ้าให้ดี ต้องมีการทดสอบ Restore Backup ด้วยนะครับ 555) หรือ ดำเนินการ Test BCP ด้วยครับ เพื่อ Re-Check ว่า Backup Point ของเรา นั้นสามารถ Restore ขึ้นมาได้ ครับ

2. จากการ โจมตี ESXi Attack Path(Crowdstrike Blog)

- Log in to management = ขั้นตอนนี้ต้องดำเนินการเข้าไปยัง Login Management IP ESXi ให้ได้ด้วย

- Enable SSH to the ESXi hypervisors = ขั้นตอนนี้ ทำไม่ถึงต้อง Enable SSH บน ESXi ก็เพราะว่าปกติแล้ว ESXi นั้น จะไม่ได้ Enable มาโดย Defule ครับ

ซึ่งการที่เข้าไป Run Ransomware จำเป็นจะต้อง SSH เข้าไป เพื่อ Run Command บน Host ESXi นั้น ๆ ครับ

Remark: ซึ่ง สอง ขั้นตอนนี้แหละ ผมคิดว่า เราสามารถแก้ปัญหาตรงนี้ได้ครับ ผมก็คิดว่า ก็หน้าจะเหมือน Cyber Kill Chain(ที่เป็นห่วงโซ่ การโจมตีครับ-ซึ่งห่วงโซ่การโจมตีนี้ ถ้ามีขั้นตอนไหนหลุดไป ซัก 1 ขั้นตอน นั้นก็หมายความว่า การโจมตีนั้นไม่สำเร็จครับ)

3. Upgrade Path Version VMware ESXi

ถ้าผมจะแก้ปัญหา ตรงนะครับ

1. โดยปกติ Admin จะใช้งาน Management จะเข้าใช้งาน Web Browser — to (IP:vCenter, IP:ESXi) ซึ่งจะใช้ Protocol: HTTPS Port: 443 ซึ่งจะใช้ แค่นี้ ครับ และถามว่า จะมี Admin ท่านไหนไหมครับ

ที่ เข้าใช้งาน VMware ESXi โดยใช้ SSH เข้าไป เพื่อดำเนินการ Create VM-Guest/ อาจจะมีแต่หน้าจะมีน้อยครับ เพราะ ว่า ใช้แบบ GUI ง่ายกว่าเยอะครับ

เพราะฉะนั้น แล้ว ถ้าเราจะแก้ปัญหา โดยการ Configure Firewall Policy: Block Port 22[SSH] ที่จะไปหา IP Zone ESXi อยู่ละ คิดว่าหน้าจะแก้ปัญหาได้ นะครับ เพราะถึง

Attacker:

1.Compromise vCenter or ESXi admin Credentials = Success

2.Log in to management = Success /// Port 443 คือประตูบ้าน — อันนี้ มันต้อง Allow บน Policy Firewall อยู่แล้ว ฮะ เพราะต้องใช้ งาน 555 **แต่ถ้าจะให้ดี กำหนด Source ที่จะเข้ามาด้วยก็ดีครับ เพื่อ ลดความเสี่ยง ที่จะให้ Source ที่จำเป็นเท่านั้น ที่เข้าใช้ งาน Management ครับ

3.Enable SSH to the ESXi hypervisors = Success > แต่ขั้นตอนนี้ ถึงจะ Enable SSH ไปแล้ว… แต่ ว่า Policy Firewall มัน Disable อยู่อะ.. ยังไงก็เข้า SSH ไม่ได้ครับ

Remark: อันนี้หน้าจะแก้ปัญหาได้ครับ ข้าม Subnet ข้าม Zone Policy Firewall Disable SSH ได้ ฮะ แต่ สมมุติว่า Attacker Compromise Server ที่อยู่ Zone เดียวกับ Zone VMware ESXi ละ

อันนี้ ไม่สามารถใช้ Policy Firewall ป้องกันนะครับ เพราะอยู่ Subnet เดียวกัน อยู่ Zone เดียวกัน อันนี้ อาจจะต้องมีการ Monitor ESXi Log File ด้วยครับ ว่า มีใครเข้าใช้งานหรือว่า Authentication to ESXi Host ของเราครับ

Ref ESXi Log File Locations: https://docs.vmware.com/.../GUID-832A2618-6B11-4A28-9672...

จากทำการทดสอบ คิดว่า Log File ที่หน้าสนใจ จะมี:

- Authentication: /var/log/auth.log

- Shell log: /var/log/shell.log

Forward vCenter to syslog: http://vcloud-lab.com/.../forward-vcenter-server...

Forware Esxi to syslog: https://www.consultcircle.com/.../how-to-configure.../

สำหรับ รายละเอียดเพิ่มเติม สามารถดู ตามรูปที่ผมดำเนินการ Proof Of Concept ได้เลยครับ