{"id":36851,"date":"2023-02-07T13:56:39","date_gmt":"2023-02-07T12:56:39","guid":{"rendered":"https:\/\/www.secuinfra.com\/news\/hide-your-hypervisor-analysis-of-esxiargs-ransomware\/"},"modified":"2023-12-13T14:18:47","modified_gmt":"2023-12-13T13:18:47","slug":"hide-your-hypervisor-analyse-von-esxiargs-ransomware","status":"publish","type":"post","link":"https:\/\/www.secuinfra.com\/de\/techtalk\/hide-your-hypervisor-analyse-von-esxiargs-ransomware\/","title":{"rendered":"Hide your Hypervisor: Analyse von ESXiArgs Ransomware"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_84 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/hide-your-hypervisor-analyse-von-esxiargs-ransomware\/#Angriffsvektoren\" >Angriffsvektoren<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/hide-your-hypervisor-analyse-von-esxiargs-ransomware\/#Analyse_von_ESXiArgs_Ransomware\" >Analyse von ESXiArgs Ransomware<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/hide-your-hypervisor-analyse-von-esxiargs-ransomware\/#Wiederherstellungs-Optionen\" >Wiederherstellungs-Optionen<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/hide-your-hypervisor-analyse-von-esxiargs-ransomware\/#Schutzmassnahmen_fuer_Ihren_Hypervisor\" >Schutzma\u00dfnahmen f\u00fcr Ihren Hypervisor<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/hide-your-hypervisor-analyse-von-esxiargs-ransomware\/#Yara_Regel\" >Yara Regel<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/hide-your-hypervisor-analyse-von-esxiargs-ransomware\/#Indicators_of_Compromise\" >Indicators of Compromise<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/www.secuinfra.com\/de\/techtalk\/hide-your-hypervisor-analyse-von-esxiargs-ransomware\/#MITRE_ATT_CK_Mapping\" >MITRE ATT&amp;CK Mapping<\/a><\/li><\/ul><\/nav><\/div>\n<p><strong>In diesem Blog-Beitrag werden wir die neue Ransomware-Variante &#8222;ESXiArgs&#8220; analysieren, die sich auf eine gro\u00dfe Anzahl veralteter, dem Internet ausgesetzter ESXi-Server auf der ganzen Welt ausgebreitet hat.<\/strong><\/p>\n<h2><span class=\"ez-toc-section\" id=\"Angriffsvektoren\"><\/span>Angriffsvektoren<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>In der Vergangenheit wurde Ransomware, die auf ESXi-Hypervisor abzielte, gr\u00f6\u00dftenteils von manuell als sp\u00e4tere Phase eines allgemeinen Ransomware-Angriffs ausgef\u00fchrt, bei dem zun\u00e4chst andere Assets (Clients, Server) verschl\u00fcsselt wurden. F\u00fcr den Zugriff auf diese Virtualisierungssysteme m\u00fcssen in der Regel zun\u00e4chst Anmeldeinformationen beschafft und die Konfigurationsoptionen ge\u00e4ndert werden, um einen Fernzugriff auf den Hypervisor zu erm\u00f6glichen, bei dem die Ransomware von den Angreifern durch einen <a  href=\"https:\/\/learn.microsoft.com\/en-us\/security\/compass\/human-operated-ransomware#human-operated-ransomware-attacks\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >\u201cHands-on-Keyboard&#8220;-Angriff<\/a> ausgef\u00fchrt wird.<\/p>\n<p>Dies \u00e4nderte sich zum Ende des Jahres 2022, als Juniper Threat Labs erstmals eine <a  href=\"https:\/\/blogs.juniper.net\/en-us\/threat-research\/a-custom-python-backdoor-for-vmware-esxi-servers\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >neuartige Backdoor entdeckte<\/a>, die auf ESXi-Hypervisor abzielte. Einige Wochen sp\u00e4ter war dieses Backdoor-Skript die erste Komponente einer automatisierten Ransomware-Kampagne mit dem Namen &#8222;ESXiArgs&#8220; (nach den Zielsystemen und der Dateierweiterung .args). Die Verbreitung von ESXiArgs Ransomware stieg ab dem 2. Februar 2023 sprunghaft an, als die automatisierte Ausnutzung der Sicherheitsl\u00fccke <a  href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2021-21974\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >CVE-2021-21974<\/a> viele ESXi-Installationen mit Internetanschluss betraf, die z. B. bei <a  href=\"https:\/\/blog.ovhcloud.com\/ransomware-targeting-vmware-esxi\/\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >OVH<\/a>, Hetzner und anderen Hostern weltweit gehostet wurden. Das OpenSLP (Service Location Protocol) auf Port 427\/tcp wird durch einen Heap-Overflow ausgenutzt, der zur Remote Code Execution auf dem ESXi-System f\u00fchrt. <a  href=\"https:\/\/packetstormsecurity.com\/files\/162957\/VMware-ESXi-OpenSLP-Heap-Overflow.html\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >\u00d6ffentliche Exploitation-Tools<\/a> sind seit Juni 2021 verf\u00fcgbar. Laut der vom <a  href=\"https:\/\/www.cert.ssi.gouv.fr\/alerte\/CERTFR-2023-ALE-015\/\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >CERT-FR<\/a> herausgegebenen Warnung betrifft die Schwachstelle ungepatchte Systeme mit den folgenden ESXi-Versionen:<\/p>\n<ul>\n<li>ESXi 7.x vor Patch ESXi70U1c-17325551<\/li>\n<li>ESXi 6.7.x vor Patch ESXi670-202102401-SG<\/li>\n<li>ESXi 6.5.x vor Patch ESXi650-202102101-SG<\/li>\n<\/ul>\n<p>Zum Zeitpunkt der Erstellung dieses Blogartikels sind fast 2500 aus dem Internet erreichbare ESXi-Systeme von der ESXiArgs-Ransomware betroffen, wie die Suchmaschine Censys zeigt (basierend auf der Ransomnote, die auf der ESXi-Webschnittstelle vorhanden ist).<\/p>\n<h2><img fetchpriority=\"high\" decoding=\"async\" class=\"aligncenter wp-image-36797 size-large\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-censys-1024x502.png\" alt=\"\" width=\"1024\" height=\"502\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-censys-1024x502.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-censys-300x147.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-censys-768x376.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-censys-1536x752.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-censys-2048x1003.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-censys-24x12.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-censys-36x18.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-censys-48x24.png 48w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/h2>\n<p style=\"text-align: center;\">Abbildung 1: Censys Suche nach betroffenen Systemen<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Analyse_von_ESXiArgs_Ransomware\"><\/span>Analyse von ESXiArgs Ransomware<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><img decoding=\"async\" class=\"size-large wp-image-36799 aligncenter\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-ransomnote-1024x488.png\" alt=\"\" width=\"1024\" height=\"488\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-ransomnote-1024x488.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-ransomnote-300x143.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-ransomnote-768x366.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-ransomnote-24x11.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-ransomnote-36x17.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-ransomnote-48x23.png 48w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-ransomnote.png 1270w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p style=\"text-align: center;\">Abbildung 2: Erpresserschreiben auf einem betroffenen System<\/p>\n<p>Nach der anf\u00e4nglichen Ausnutzung von CVE-2021-21974 setzen die Angreifer das Backdoor-Skript &#8222;vmtools.py&#8220; ein, das zuvor von Juniper Threat Labs analysiert worden war. Die Web Shell besteht aus einem HTTP-Server auf Port 8008, der Postanfragen mit einer bestimmten Befehlsstruktur annimmt. Bei Anfragen mit der Aktion &#8222;local&#8220; werden Befehle auf dem Hypervisor-System ausgef\u00fchrt und an die Web Shell ausgegeben. Mit der Aktion &#8222;remote&#8220; k\u00f6nnen die Angreifer eine Reverse Shell zur angegebenen Host-IP und Port \u00f6ffnen.<\/p>\n<p><img decoding=\"async\" class=\"size-full wp-image-36803 aligncenter\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/esxiargs-vmtools.png\" alt=\"\" width=\"984\" height=\"827\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-vmtools.png 984w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-vmtools-300x252.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-vmtools-768x645.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-vmtools-24x20.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-vmtools-36x30.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-vmtools-48x40.png 48w\" sizes=\"(max-width: 984px) 100vw, 984px\" \/><\/p>\n<p style=\"text-align: center;\">Abbildung 3: vmtools.py Skript &#8211; verwendet f\u00fcr die Web Shell<\/p>\n<p>Sobald die Persistenz auf dem Hypervisor erreicht ist, \u00fcbertragen die Angreifer die Ransomware-Komponenten \u00fcber eine Archivdatei namens &#8222;archieve.zip&#8220; auf das System. Diese enth\u00e4lt das Erpresserschreiben f\u00fcr das Web-Interface und die SSH-Message of the Day sowie ein Bash-Skript und eine ELF-Bin\u00e4rdatei f\u00fcr die Dateiverschl\u00fcsselung.<\/p>\n<p>ESXiArgs Ransomware ist in einem Bash-Skript implementiert, w\u00e4hrend die mitgelieferte ELF-Bin\u00e4rdatei nur f\u00fcr den Verschl\u00fcsselungsprozess verwendet wird.<\/p>\n<p><strong>Betrachten wir zun\u00e4chst das Skript:<\/strong><\/p>\n<p>Zun\u00e4chst sammelt ESXiArgs eine Liste der Festplatten- und Auslagerungsdateien f\u00fcr die konfigurierten VMs auf dem Hypervisor und benennt diese um. Im Gegensatz zu vielen anderen ESXi-Ransomware-Implementierungen verwendet ESXiArgs keine Dienstprogramme wie &#8222;esxcli&#8220;, &#8222;vmware-cmd&#8220; oder &#8222;vim-cmd&#8220;, um laufende VMs herunterzufahren und diese anschlie\u00dfend zu verschl\u00fcsseln, sondern beendet lediglich den vmx-Prozess. Diese Aktion kann m\u00f6glicherweise zu Fehlern oder zur Besch\u00e4digung von VM-Daten f\u00fchren.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-36805 aligncenter\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/esxiargs-kill.png\" alt=\"\" width=\"801\" height=\"190\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-kill.png 801w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-kill-300x71.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-kill-768x182.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-kill-24x6.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-kill-36x9.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-kill-48x11.png 48w\" sizes=\"(max-width: 801px) 100vw, 801px\" \/><\/p>\n<p style=\"text-align: center;\">Abbildung 4: Umbenennen der Konfigurationsdateien und Beenden des vmx Prozesses<\/p>\n<p>Beim Verschl\u00fcsseln von VM-Daten durchl\u00e4uft ESXiArgs eine Liste von Volumes und versucht, VM-Speicher- und Konfigurationsdateien mit Hilfe von blockweiser Verschl\u00fcsselung zu verschl\u00fcsseln. Die Information, welche Datei verschl\u00fcsselt werden soll, wird als Argument an das &#8222;encrypt&#8220;-Binary \u00fcbergeben, das wir in K\u00fcrze analysieren werden.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-36807 aligncenter\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-encrypt-1024x309.png\" alt=\"\" width=\"1024\" height=\"309\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-encrypt-1024x309.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-encrypt-300x90.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-encrypt-768x231.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-encrypt-1536x463.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-encrypt-24x7.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-encrypt-36x11.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-encrypt-48x14.png 48w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-encrypt.png 1586w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p style=\"text-align: center;\">Abbildung 5: Datei-Verschl\u00fcsselungsroutine<\/p>\n<p>Nach der Verschl\u00fcsselung der VM-Dateien legt die Ransomware zwei Ransomnotes ab: Die erste \u00fcberschreibt die vSphere-Web-Oberfl\u00e4che (siehe Abbildung 2) und die zweite \u00fcberschreibt die SSH-Nachricht des Tages, die bei der Anmeldung angezeigt wird.<br \/>\nUm ihre Spuren zu verwischen und die weiteren Ermittlungen zu erschweren, l\u00f6scht ESXiArgs die Log-Dateien auf dem System.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-36809 aligncenter\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/esxiargs-note2.png\" alt=\"\" width=\"628\" height=\"362\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-note2.png 628w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-note2-300x173.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-note2-24x14.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-note2-36x21.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-note2-48x28.png 48w\" sizes=\"(max-width: 628px) 100vw, 628px\" \/><\/p>\n<p style=\"text-align: center;\">Abbildung 6: Hinterlassen des Erpresserschreibens und L\u00f6schen der Log-Dateien<\/p>\n<p>Schlie\u00dflich entfernt ESXiArgs seine Persistenz (z. B. \u00fcber \/etc\/rc.local.d\/local.sh) und l\u00f6scht alle Artefakte, die f\u00fcr den Verschl\u00fcsselungsprozess verwendet wurden, um als Anti-Analyse-Ma\u00dfnahme zu dienen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-36811 aligncenter\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-delete-1024x451.png\" alt=\"\" width=\"1024\" height=\"451\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-delete-1024x451.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-delete-300x132.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-delete-768x338.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-delete-1536x677.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-delete-24x11.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-delete-36x16.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-delete-48x21.png 48w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-delete.png 1602w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p style=\"text-align: center;\">Abbildung 7: L\u00f6schung von Artefakten und Entfernen der Persistenz<\/p>\n<p>Die ESXiArgs &#8222;encrypt&#8220;-Bin\u00e4rdatei ist eine 64bit LSB ELF-Datei mit noch intakten Debug-Informationen. Da es nur die eigentliche Dateiverschl\u00fcsselung durchf\u00fchrt, ist es mit einer Dateigr\u00f6\u00dfe von 48 KB relativ klein.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-36813 aligncenter\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-file-1024x52.png\" alt=\"\" width=\"1024\" height=\"52\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-file-1024x52.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-file-300x15.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-file-768x39.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-file-24x1.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-file-36x2.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-file-48x2.png 48w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-file.png 1101w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p style=\"text-align: center;\">Abbildung 8: Informationen zu der &#8222;encrypt&#8220; Bin\u00e4rdatei<\/p>\n<p>Die Bin\u00e4rdatei verf\u00fcgt \u00fcber einen Verwendungsdialog und erfordert die \u00dcbergabe des \u00f6ffentlichen RSA-Schl\u00fcssels, des Dateipfads und der Werte f\u00fcr die unterbrochene Verschl\u00fcsselung als Argumente.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-36815 aligncenter\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/esxiargs-help.png\" alt=\"\" width=\"679\" height=\"78\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-help.png 679w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-help-300x34.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-help-24x3.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-help-36x4.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-help-48x6.png 48w\" sizes=\"(max-width: 679px) 100vw, 679px\" \/><\/p>\n<p style=\"text-align: center;\">Abbildung 9: Hilfe-Men\u00fc f\u00fcr die &#8222;encrypt&#8220; Bin\u00e4rdatei<\/p>\n<p>Die Dateiverschl\u00fcsselung erfolgt durch eine Kombination aus asymmetrischen RSA- und symmetrischen Sosemanuk-Algorithmen. <strong>Sosemanuk<\/strong> ist Teil des eSTREAM-Portfolios und kommt relativ selten in Ransomware zum Einsatz. Aufgrund der in der Bin\u00e4rdatei enthaltenen Debug-Informationen vermuten wir, dass die Bedrohungsakteure ihre Implementierung auf dieses <a  href=\"https:\/\/github.com\/cchcc\/SOSEMANUK\/blob\/master\/C\/SOSEMANUK.C\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Github repository<\/a> gest\u00fctzt haben k\u00f6nnten.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"size-large wp-image-36817 aligncenter\" src=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-crypto-1024x440.png\" alt=\"\" width=\"1024\" height=\"440\" srcset=\"https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-crypto-1024x440.png 1024w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-crypto-300x129.png 300w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-crypto-768x330.png 768w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-crypto-1536x660.png 1536w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-crypto-2048x880.png 2048w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-crypto-24x10.png 24w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-crypto-36x15.png 36w, https:\/\/www.secuinfra.com\/wp-content\/uploads\/\/esxiargs-crypto-48x21.png 48w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/p>\n<p style=\"text-align: center;\">Abbildung 10: Sosemanuk and RSA Verschl\u00fcsselungsroutinen<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Wiederherstellungs-Optionen\"><\/span>Wiederherstellungs-Optionen<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Vor einer versuchten Wiederherstellung virtueller Maschinen sollte der ESXi-Hypervisor gesichert und ein Backup erstellt werden. In einigen F\u00e4llen kann es vorkommen, dass die Verschl\u00fcsselung die VM-Daten nicht korrekt verschl\u00fcsselt hat und daher einige Daten wiederhergestellt werden k\u00f6nnen. Enes Sonmez &amp; Ahmet Aykac vom YoreGroup Tech Team haben <a  href=\"https:\/\/enes.dev\/\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >hier<\/a> einen Wiederherstellungs-Workflow dokumentiert, der den Opfern helfen k\u00f6nnte, ihre VMs zeitnah wiederherzustellen. Es scheint jedoch, dass dieser Prozess nur f\u00fcr VM mit &#8222;Thin Provisioned&#8220;-Speicher gilt.<br \/>\nUpdate (2023-02-08): CISA hat ein Wiederherstellungsskript f\u00fcr betroffene Hypervisors ver\u00f6ffentlicht, Sie finden es auf <a  href=\"https:\/\/github.com\/cisagov\/ESXiArgs-Recover\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >GitHub<\/a>.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Schutzmassnahmen_fuer_Ihren_Hypervisor\"><\/span>Schutzma\u00dfnahmen f\u00fcr Ihren Hypervisor<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>1 &#8211; <strong>Halten Sie Ihren Hypervisor auf dem neuesten Stand<\/strong>: Betroffene ESXi-Versionen sollten sofort auf den neuesten Patch aktualisiert werden. Versionen, die das End-of-Life der Herstellerunterst\u00fctzung erreicht haben, sollten au\u00dfer Betrieb genommen und auf eine neuere Version migriert werden.<\/p>\n<p>2 &#8211; <strong>Machen Sie Ihren Hypervisor nicht aus dem Internet erreichbar<\/strong>: Dazu geh\u00f6ren alle Verwaltungsschnittstellen (LAN, IPMI), aber auch Protokolle und Funktionen wie SSH, OpenSLP, SNMP und vSphere (die alle standardm\u00e4\u00dfig deaktiviert sein sollten). Der Netzwerkzugriff auf den Hypervisor sollte durch eine Firewall eingeschr\u00e4nkt werden.<\/p>\n<p>3 &#8211; <strong>Erstellen Sie Backups Ihres Hypervisors<\/strong>: Wie bei jedem anderen System, das von Ransomware betroffen ist, ist die Erstellung von Backups ein wichtiger Schritt zur zeitnahen Wiederherstellung des Dienstes. Dazu geh\u00f6ren virtuelle Festplattendateien ebenso wie VMware-Konfigurationsdaten f\u00fcr die VMs.<\/p>\n<p>4 &#8211; <strong>Verwenden Sie Syslog, um Logs aufzubewahren<\/strong>: ESXiArgs und viele andere Hypervisor-spezifische Ransomware zielen auf die L\u00f6schung von Protokolldateien auf dem System ab, um weitere Untersuchungen zu verhindern. Daher ist es wichtig, diese Protokolle sicher zu exportieren und zu speichern.<\/p>\n<p>5 &#8211; <strong>Deaktivieren Sie die Ausf\u00fchrung von unsignierter Software<\/strong>: Die Konfigurationsoption <em>execInstalledOnly<\/em> schr\u00e4nkt den ESXi Hypervisor so ein, dass nur sogenannte vSphere Installable Bundles (VIB) ausgef\u00fchrt werden, zu denen ESXi-Softwarekomponenten oder von VMware genehmigte Anwendungen von Drittanbietern geh\u00f6ren. Unsignierte Ransomware-Bin\u00e4rdateien k\u00f6nnen daher nicht auf dem System ausgef\u00fchrt werden. Es ist wichtig zu verstehen, dass diese Konfigurationsoption \u00fcber UEFI SecureBoot (das ein unterst\u00fctztes Hardware-TPM erfordert) persistiert werden sollte, um sich gegen Ransomware zu sch\u00fctzen. Weitere Informationen \u00fcber diese Funktion finden Sie <a  href=\"https:\/\/docs.vmware.com\/en\/VMware-vSphere\/7.0\/com.vmware.vsphere.security.doc\/GUID-9047A43D-BB1F-4878-A971-EEFCAC183C86.html\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >hier<\/a>.<\/p>\n<p>6 &#8211; <strong>\u00dcberpr\u00fcfen Sie die Benutzerauthentifizierung<\/strong>: Die Benutzerauthentifizierung sollte nicht \u00fcber Active Directory erfolgen, um im Falle einer Kompromittierung des Dom\u00e4nencontrollers eine Ausbreitung auf den Hypervisor zu verhindern. Lokale Benutzerkonten sollten auf eine Kennwortrichtlinie, begrenzte Authentifizierungsversuche und vor\u00fcbergehende Sperren beschr\u00e4nkt werden, wenn die Authentifizierung fehlschl\u00e4gt.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Yara_Regel\"><\/span>Yara Regel<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Yara Regeln f\u00fcr die Python, Bash and Bin\u00e4rdateien zu ESXiArgs Ransomware finden Sie in unserem <a  href=\"https:\/\/github.com\/SIFalcon\/Detection\/tree\/main\/Yara\/Malware\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >Github repository<\/a>.<\/p>\n<h2><span class=\"ez-toc-section\" id=\"Indicators_of_Compromise\"><\/span>Indicators of Compromise<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<h3>Samples<\/h3>\n<p>Die Ransomware-Artefakte wurden von einem <a  href=\"https:\/\/www.bleepingcomputer.com\/forums\/t\/782193\/esxi-ransomware-help-and-support-topic-esxiargs-args-extension\/page-14#entry5470686\"  target=\"_blank\" rel=\"noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >betroffenen Benutzer des BleepingComputer Forums<\/a> bezogen.<\/p>\n<p>11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66\u00a0 encrypt<\/p>\n<p>10c3b6b03a9bf105d264a8e7f30dcab0a6c59a414529b0af0a6bd9f1d2984459\u00a0 encrypt.sh<\/p>\n<p>773d147a031d8ef06ee8ec20b614a4fd9733668efeb2b05aa03e36baaf082878\u00a0 vmtools.py<\/p>\n<h3>Dateinamen<\/h3>\n<p>vmtools.py<br \/>\nencrypt<br \/>\n\/tmp\/tmpy_8th_nb<br \/>\nnohup.out<br \/>\npublic.pem<br \/>\narchieve.zip<br \/>\nmotd<\/p>\n<h2><span class=\"ez-toc-section\" id=\"MITRE_ATT_CK_Mapping\"><\/span>MITRE ATT&amp;CK Mapping<span class=\"ez-toc-section-end\"><\/span><\/h2>\n<table>\n<tbody>\n<tr>\n<td width=\"85\"><strong>Tactic<\/strong><\/td>\n<td width=\"85\"><strong>Technique<\/strong><\/td>\n<td width=\"123\"><strong>Description<\/strong><\/td>\n<td width=\"308\"><strong>Observable<\/strong><\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Reconnaissance<\/td>\n<td width=\"85\">Active Scanning: Vulnerability Scanning (T1595.002)<\/td>\n<td width=\"123\">Threat Actors behind ESXiArgs are actively scanning for vulnerable ESXi Servers<\/td>\n<td width=\"308\">CVE-2021-21974 artifacts<\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Initial Access<\/td>\n<td width=\"85\">Exploit Public-Facing Application<\/p>\n<p>(T1190)<\/td>\n<td width=\"123\">Explotation of OpenSLP<\/td>\n<td width=\"308\">CVE-2021-21974 artifacts<\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Execution<\/td>\n<td width=\"85\">Command and Scripting Interpreter: Python (T1059.006)<\/td>\n<td width=\"123\">Backdoor\/Web Shell implemented in Python<\/td>\n<td width=\"308\">vmtools.py<\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Persistence<\/td>\n<td width=\"85\">Boot or Logon Initialization Scripts: RC Scripts (T1037.004)<\/td>\n<td width=\"123\">Persisting the Python backdoor<\/td>\n<td width=\"308\">\/etc\/rc.local.d\/local.sh<\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Command and Control<\/td>\n<td width=\"85\">Non-Standard Port (T1571)<\/td>\n<td width=\"123\">Web Shell implemented in vmtools.py<\/td>\n<td width=\"308\">HTTP Post Server on Port 8008<\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Command and Control<\/td>\n<td width=\"85\">Non-Standard Port (T1571)<\/td>\n<td width=\"123\">Reverse Shell implemented in vmtools.py<\/td>\n<td width=\"308\">Reverse Shell via specified port; default fallback: 427<\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Execution<\/td>\n<td width=\"85\">Command and Scripting Interpreter: Unix Shell (T1059.004)<\/td>\n<td width=\"123\">Ransomware functionality is implemented in Bash<\/td>\n<td width=\"308\">encrypt.sh<\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Impact<\/td>\n<td width=\"85\">Data Encrypted for Impact (T1486)<\/td>\n<td width=\"123\">VM data is encrypted via RSA+Sosemanuk<\/td>\n<td width=\"308\">encrypt binary<\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Impact<\/td>\n<td width=\"85\">Service Stop (T1489)<\/td>\n<td width=\"123\">Ending a process to power down VMs<\/td>\n<td width=\"308\">Killing the vmx process in encrypt.sh<\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Impact<\/td>\n<td width=\"85\">Defacement: External Defacement (T1491.002)<\/td>\n<td width=\"123\">Defacement of the vSphere Web Interface<\/td>\n<td width=\"308\">Overwriting index.html with the Ransomnote<\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Impact<\/td>\n<td width=\"85\">Defacement: Internal Defacement (T1491.001)<\/td>\n<td width=\"123\">Defacement of the SSH MOTD<\/td>\n<td width=\"308\">Overwriting motd with the Ransomnote<\/td>\n<\/tr>\n<tr>\n<td width=\"85\">Defense Evasion<\/td>\n<td width=\"85\">Indicator Removal: Clear Linux or Mac System Logs (T1070.002)<\/td>\n<td width=\"123\">Log file deletion<\/td>\n<td width=\"308\">Deleting all .log files<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eines der beliebtesten Hypervisor-Systeme auf dem Markt ist VMware ESXi, das in den letzten 3+ Jahren regelm\u00e4\u00dfig Ziel von Ransomware-Angriffen war, um den Schaden an den IT-Systemen der Opfer zu erh\u00f6hen. Unsere Analyse &#8211; in diesem TechTalk Beitrag! <\/p>\n","protected":false},"author":6,"featured_media":36796,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[80,269,66],"tags":[270,271,272,273],"dpc_coauthors":[],"class_list":["post-36851","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-incident-response","category-sicherheitsluecken","category-techtalk","tag-analyse-2","tag-esxiargs-2","tag-malware-2","tag-ransomware-2"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/36851","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=36851"}],"version-history":[{"count":0,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/36851\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/36796"}],"wp:attachment":[{"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=36851"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=36851"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=36851"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/www.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=36851"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}