Daha önce belgelenmemiş bir Python Backdoor hedefleme VMware ESXI sunucuları tespit edildi ve bilgisayar korsanlarının uzlaşmış bir sistemde uzaktan komutları yürütmesini sağladı.
VMware ESXI, CPU ve bellek kaynaklarını daha etkili bir şekilde kullanırken bir cihazda çok sayıda sunucuyu barındırmak için işletmede yaygın olarak kullanılan bir sanallaştırma platformudur.
Yeni arka kapı, VMware ESXI sunucusunda arka kapıyı bulan Juniper Networks araştırmacıları tarafından keşfedildi. Ancak, sınırlı günlük tutma nedeniyle sunucunun nasıl tehlikeye atıldığını belirleyemediler.
ESXI'nın OpenSLP hizmetindeki CVE-2019-5544 ve CVE-2020-3992 güvenlik açıkları kullanılarak sunucunun tehlikeye atılmış olabileceğine inanıyorlar.
Kötü amaçlı yazılım teknik olarak Linux ve UNIX sistemlerini hedefleyebilirken, Juniper analistleri ESXI'ya yönelik saldırılar için tasarlandığı birden fazla gösterge buldu.
Yeni Python Backdoor, "/etc/rc.local.d/local.sh" içine yedi satır ekliyor, yeniden başlatmalar arasında hayatta kalan birkaç ESXI dosyasından biri.
Genellikle, bazı danışma yorumları ve bir çıkış ifadesi dışında bu dosya boştur.
Bu satırlardan biri, VM disk görüntülerini, günlüklerini ve daha fazlasını depolayan bir dizinde "/store/packages/vmtools.py" olarak kaydedilen bir Python komut dosyası başlatır.
Komut dosyasının adı ve konumu, Juniper Networks'ü kötü amaçlı yazılım operatörlerinin özellikle VMware ESXI sunucularını hedeflemeyi planladığına inanıyor.
"Bu saldırıda kullanılan Python komut dosyası çapraz platform olsa da ve Linux veya diğer UNIX benzeri sistemlerde çok az veya hiç değişiklik yapmadan kullanılabilse de, bu saldırının ESXI'yi hedeflemek için özel olarak tasarlandığına dair birkaç gösterge var," diye açıklıyor Juniper Networks ' bildiri.
"Dosyanın adı ve konumu, /store/packages/vmtools.py, bir sanallaştırma ev sahibinde çok az şüphe uyandırmak için seçildi."
"Dosya, halka açık örneklerle tutarlı bir VMware telif hakkı ile başlar ve VMware tarafından sağlanan mevcut bir Python dosyasından karakter için karakter alınır."
Bu komut dosyası, uzaktan tehdit aktörlerinden şifre korumalı yayın isteklerini kabul eden bir web sunucusu başlatır. Bu istekler, Base-64 kodlu komut yükü taşıyabilir veya ana bilgisayarda bir ters kabuk başlatabilir.
Ters kabuk, tehlikeye atılan sunucunun, genellikle güvenlik duvarı kısıtlamalarını atlamaya yardımcı olan veya sınırlı ağ bağlantısı etrafında çalışan bir teknik olan tehdit oyuncusu ile bağlantıyı başlatmasını sağlar.
Juniper analistleri tarafından gözlemlenen tehdit aktörlerinin eylemlerinden biri, eklenen web sunucusu ile iletişim kurulmasına izin vermek için ESXI ters HTTP proxy konfigürasyonunu değiştirmekti.
Bu yeni yapılandırmayı ayarlamak için kullanılan dosya, "/etc/vmware/rhtproxy/endpoints.conf", yeniden başlatıldıktan sonra yedeklenir ve geri yüklenir, üzerindeki değişiklikler kalıcıdır.
Bu arka kapının ESXI sunucularınızı etkileyip etkilemediğini belirlemek için, yukarıda belirtilen dosyaların varlığını ve "Local.sh" dosyasındaki ek satırları kontrol edin.
Yeniden başlatmaları devam eden tüm yapılandırma dosyaları şüpheli değişiklikler için incelenmeli ve doğru ayarlara tersine çevrilmelidir.
Son olarak, yöneticiler gelen tüm ağ bağlantılarını güvenilir ana bilgisayarlarla sınırlamalı ve ilk uzlaşma için kullanılan istismarları ele alan mevcut güvenlik güncellemeleri mümkün olan en kısa sürede uygulanmalıdır.
Yeni Windows kötü amaçlı yazılım, kurbanların cep telefonlarından verileri de çalıyor
200.000 Roblox Oyuncusu tarafından yüklenen backdoed Chrome uzantısı
Kuzey Koreli hackerlar güncellenmiş kötü amaçlı yazılımlarla Avrupa orgs hedeflerini hedefleyin
Hackerlar, kötü amaçlı yazılımları kontrol etmek için Microsoft IIS Web Server günlüklerini kullanır
Bilgisayar korsanları, 60'dan fazla kurbanı hedeflemek için yeni gizli Powershell arka kapısı kullanıyor
Kaynak: Bleeping Computer