jmb
/
www-jmbit-de
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

added ESXiArgs Blogpost and fixed GPG key

gin
Johannes Bülow 2023-02-05 16:07:56 +01:00
parent 68cd2b9575
commit 47c71276d4
Signed by untrusted user who does not match committer: jmb
GPG Key ID: B56971CF7B8F83A6
4 changed files with 69 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

2
content/about.md
View File

@ -8,5 +8,5 @@ Fachinformatiker Systemintegration
GPG-Key: [https://www.jmbfountain.de/gpg.asc](https://www.jmbfountain.de/gpg.asc)
GPG-Key: [https://www.jmbit.de/gpg.asc.txt](/gpg.asc.txt)
Email: kontakt @ jmbit.de

68
content/blog/2023-02-05-esxiargs.md Normal file
View File

@ -0,0 +1,68 @@
---
title: "ESXiArgs"
date: 2023-02-05T14:36:45+01:00
author: Johannes Bülow
draft: false
---
ESXiArgs ist eine vermutlich neue Ransomware-Familie, die ESXi-Server angreift und darauf laufende VMs (teilweise)
verschlüsselt. Der wahrscheinlichste Angriffsvektor ist derzeit
[CVE-2021-21974](https://www.vmware.com/security/advisories/VMSA-2021-0002.html), ein Heap-Overflow -> RCE Exploit.
Benannt ist die Malware danach, dass sie dem Namen verschlüsselter Dateien ".args" anhängt.
## Was ist passiert?
Auf den betroffenen ESXi-Servern wurde vermutlich unter Ausnutzung von CVE-2021-21974 eine reverse shell installiert.
In dem [Sample](https://bazaar.abuse.ch/sample/773d147a031d8ef06ee8ec20b614a4fd9733668efeb2b05aa03e36baaf082878/#yara)
der Backdoor, das ich analysiert habe, wurde auf port 8008 eine Webshell gestartet:
```python
HTTPServer(('127.0.0.1', 8008), PostServer).serve_forever()
```
Ich habe leider nur die python-Datei selbst, da das Skript, das die VMs verschlüsselt, jedoch die Datei
`/etc/rc.local.d/local.sh` leert, ist anzunehmen, dass das Python-Skript selbst von dort aufgerufen wird, also bei jedem
reboot neu geladen wird.
Diese Reverse-Shell wurde dann verwendet, um mehrere Dateien unter /tmp/ abzulegen und dann die darunter befindliche
`compromise.sh` auszuführen. Dieses Shellscript verschlüsselt alle Dateien, deren Namen auf "\*.vmdk", "\*.vmx", "\*.vmxf",
"\*.vmsd", "\*.vmsn", "\*.vswp", "\*.vmss", "\*.nvram" oder "\*.vmem" enden, und die kleiner als 128MB sind. Bei
Dateien, die größer als 128MB sind, werden nur 100 1MB-Blöcke in der Datei verschlüsselt. Dies bedeutet, dass die VMs
selbst in der Regel relativ einfach wiederherstellbar sind. Am Ende dieses Artikels werde ich in der Linksammlung einige
Anleitungen verlinken. Sollten Sie dabei Probleme haben, können Sie auch gerne [auf mich zukommen](/about/).
## Woran kann ich einen Befall erkennen?
Sollte das Virus bereits ausgeführt worden sein, sehen Sie auf Port 443 des Servers statt der gewohnten Web-UI diese
Website:
![Ransom Note](/img/blog/esxiargs-ransomnote.jpg)
Die Backdoor, die vermutlich für die Infektion verwendet wird/wurde, läuft als Python Webserver. In diesem Fall lief er auf
Port 8008, es wäre aber auch so ziemlich jeder andere Port denkbar. Mit `esxcli network ip connection list` können Sie
sich auf dem ESXi-Server anzeigen, welche Netzwerkdienste aktuell laufen. Ebenso sollte in /etc/rc.local.d/ ein Eintrag
zu finden sein, der das Python-Script startet. Das Skript selbst dürfte `store/packages/vmtools.py` heißen.
## Welche Voraussetzungen für einen Befall gibt es?
Der ESXi-Server muss, damit CVE-2021-21974 ausgenutzt werden kann, auf Port 427 aus dem Internet erreichbar sein, sowie
auf einer Version vor ESXi70U1c-17325551 (ESXi 7.0), ESXi670-202102401-SG (ESXi 6.7) oder ESXi650-202102101-SG (ESXi 6.5)
sein. Da diese Malware aber eine bereits deployte Hintertür ausnutzt, reicht es, wenn diese Konstellation in der
Vergangenheit existiert hat, um kompromittiert werden zu können (Gesetzt, die Hintertür ist weiterhin aus dem Internet
erreichbar)
-----
## Linksammlung
### Quellen und Weiterführendes:
https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/
https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers
### Mögliche Anleitungen / Ansätze
**Ich übernehme KEINE Verantwortung dafür, ob diese Anleitungen funktionieren.** Ich habe Online sowohl von Erfolgen als
auch Fehlschlägen gelesen. Ich empfehle Ihnen, sich bei wichtigen Daten an Experten zu wenden und die Wiederherstellung
nicht selbst zu versuchen.
https://enes.dev/
https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/?p=5470599
https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/?p=5470896
https://kb.vmware.com/s/article/1026353
### Betroffene ESXi-Server
https://www.shodan.io/search?query=html%3A%22TOX_ID%22

0
static/gpg.asc → static/gpg.asc.txt
View File

BIN
static/img/blog/esxiargs-ransomnote.jpg Normal file
View File

Binary file not shown.
Side by Side

After

Width:  |  Height:  |  Size: 84 KiB