ESXiArgs の第二波攻撃:CISA スクリプトによる VMware ESXi の復旧は不可能に?

New ESXiArgs ransomware version prevents VMware ESXi recovery

2023/02/08 BleepingComputer — 新しい ESXiArgs ランサムウェア攻撃により、より広範囲なデータが暗号化されている。そして、暗号化された VMware ESXi 仮想マシンの復旧が不可能ではなくとも、かなり困難になってきている。2022年2月3日に、大規模かつ広範囲な ESXiArgs ランサムウェア攻撃が、インターネットに公開された 3,000台以上の VMware ESXi サーバを暗号化した。

事前の報告では、古い VMware における SLP 脆弱性の悪用により、侵入が発生したとのことだった。しかし、一部の被害者は、デバイスの SLP を無効にしても侵入され、暗号化されたと述べている。

デバイスを暗号化する際に、悪意の encrypt.sh スクリプトは、以下の拡張子に一致する仮想マシン・ファイルを探し出す。

.vmdk
.vmx
.vmxf
.vmsd
.vmsn
.vswp
.vmss
.nvram
.vmem

それぞれの発見されたファイルに対して、このスクリプトはファイル・サイズをチェックし、ファイルが 128MB より小さい場合には、1 MB 単位でファイル全体を暗号化する。

ただし、128 MB より大きいファイルの場合には、size_step を計算し、暗号化システムによる 1 MB 谷での暗号化を、データのチャンクの非暗号化を交互に繰り返すことになる。

encrypt.sh スクリプトは、以下の式 (読みやすくするために若干修正) を用いて、どの size_step を使用すべきかを決定する。

size_step=((($size_in_kb/1024/100)-1))

つまり、4.5GB のファイルの場合、size_step は 45 となり、暗号化システムは 1MB の暗号化を 45MB のスキップを交互に行う。このように、ファイルの暗号化が完了するまでに、かなりの量のデータが暗号化されずに残ることになる。 

たとえば、450GB の大きなファイルの場合には、スキップされるデータの量は劇的に増加し、size_step は 4607 となり、1MB の暗号化と 4.49 GB のデータ・スキップが交互に行われるようになる。

このように、暗号化されていない大きなデータの塊が残るため、仮想マシンのディスク・データが格納されている、主に暗号化されていない大きなフラット・ファイルを使用して仮想マシンを復旧させる方法を、研究者たちは考案した。

その後に、CISA が作成したスクリプトにより、この復旧作業は自動化された。

暗号化処理の変更

しかし、残念なことに、今日になって ESXiArgs ランサムウェアの第2弾が始まり、大容量ファイルのデータを暗号化する、変更された暗号化ルーチンが含まれるようになった。

ある管理者が ESXiArgs サポート・トピックに、暗号化されたサーバが以前の方法では復旧できないと投稿したことから、この第2波の存在が明らかになった。

BleepingComputer と共有されたサンプルでは、暗号化システムは変わっていなかったが、encrypt.sh スクリプトの size_step ルーチンが取り出したところ、新しいバージョンでは単に [1] が設定されていた。

攻撃の第一波におけるオリジナルの encrypt.sh の size_step 計算 (左) と、第二波における新しいシェル・スクリプト (右) の比較すると、この変更は以下のように示される。

Original script on left, new script on right setting size_step to 1
Original script on left, new script on right setting size_step to 1
Source: BleepingComputer

ランサムウェアの専門家である Michael Gillespie は、「この変更により、暗号化システムは 1MB のデータを暗号化し、1MB のデータをスキップすることを。交互に行うようになる。128MBを超えるファイルは、すべてデータの 50% が暗号化され、回復不可能になる可能性が高くなる」と BleepingComputer に述べている。

この変更により、これまでのツールにより、マシンを復旧させることが不可能になった。フラット・ファイルは、暗号化されたデータが多すぎて、使用できなくなるからだ。

この第二波の攻撃では、身代金メモから Bitcoin アドレスを取り除くなど、以下のような細かい変更も行われている。

The new ESXiArgs ransom note
The new ESXiArgs ransom note
Source: BleepingComputer

Bitcoin アドレスが削除されたのは、身代金の支払いを追跡するセキュリティ研究者たちが、それを収集するからだと思われる。

しかし、さらに気になるのは、新しいサンプルを共有した管理者が、自身のサーバで SLP を無効にしたが、それでも侵入されたと言っていることだ。また、以前の攻撃で見られたバックドア vmtool.py が消えたとも言っている。

SLP を無効にしたことで、このサーバへの侵入方法がさらに分からなくなった。

BleepingComputer は、CISA の復旧スクリプトを使用して、暗号化された ESXiサーバの復旧を試みることを依然として推奨している。

https://08bf01b7d72c2264c0af549aa66f690e.safeframe.googlesyndication.com/safeframe/1-0-40/html/container.html?upapi=true

しかし、新しい暗号化ルーチンを使用した、攻撃の第二波で感染した場合には、おそらく上手く動作しないだろう。

ESXiArgs ランサムウェアに関する質問やサポートが必要な場合は、フォーラムに専用のサポート・トピックを使用してほしい。

せっかく CISA が復号化スクリプトを提供したのですが、この驚異アクターの動きは素早く、その試みを困難にしているようです。文中の暗号化スキップに関連する話ですが、もし旧式のスキップで暗号化されたデータが手元にあるなら、複合が可能なのかもしれません。この脆弱性ですが、今日の記事には明記されていませんが、CVE-2021-21974 で間違いないと思います。

2023/02/08:CVE-2021-21974 攻撃:CISA が復旧ツール
2023/02/03:脆弱性 CVE-2021-21974:ESXiArgs 攻撃の標的に

%d bloggers like this: