-
09/04/2020
-
110
-
1.036 bài viết
DarkBit tấn công VMware ESXi, tệp máy ảo VMDK trong tầm nguy hiểm
DarkBit, một nhóm tin tặc mới nổi, đã tiến hành chiến dịch mã hóa dữ liệu quy mô lớn nhắm vào hạ tầng ảo hóa VMware ESXi, tập trung vào tệp ảnh đĩa ảo VMDK ngay sau loạt vụ tấn công bằng máy bay không người lái nhằm vào các cơ sở quân sự và dầu mỏ của Iran hồi cuối tháng 1/2023.
Ngày 28/1/2023, ba UAV tấn công nhà máy đạn dược của Bộ Quốc phòng Iran ở Isfahan, trong khi nhiều vụ nổ khác được ghi nhận tại các cơ sở dầu ở Tabriz, Karaj và Azarshahr. Ngay sau đó, một tổ chức lớn đã liên hệ với đội ứng cứu sự cố Profero khi phát hiện hàng loạt máy trạm nhân viên cùng máy chủ ESXi bị mã hóa bởi ransomware DarkBit. Công cụ tấn công chính là esxi.darkbit, phần mềm độc hại viết bằng C++ sử dụng thư viện mật mã Crypto++ và được thiết kế chuyên biệt để mã hóa VMFS trên máy chủ ESXi.
Mẫu ransomware này khi chạy yêu cầu tham số dòng lệnh rõ ràng, bao gồm đường dẫn tới vùng lưu trữ VMFS, khoảng thời gian chờ trước khi bắt đầu mã hóa và danh sách máy ảo sẽ bị tấn công. Bộ mã độc được triển khai với thuật toán AES-128 ở chế độ CBC, mỗi khóa đối xứng dài 16 byte và được bảo vệ bằng lớp mã hóa bất đối xứng RSA-2048, khiến việc giải mã thủ công gần như bất khả thi nếu không có khóa riêng.
DarkBit không mã hóa toàn bộ dữ liệu theo kiểu tuyến tính mà áp dụng chiến lược “cắn chọn lọc” để tối ưu tốc độ và giữ nguyên khả năng phá hoại. Với tệp nhỏ hơn 6,55MB, nó xử lý từng khối dữ liệu 1MB (0x100000 byte) rồi bỏ qua 10MB tiếp theo (0xa00000 byte). Với tệp lớn hơn, kích thước khối mã hóa được nâng lên 2MB (0x200000 byte) và khoảng bỏ qua được tính theo công thức (FILESIZE / 0x32) – 0x200000, giúp kẻ tấn công vừa giảm thời gian mã hóa vừa khiến dữ liệu không thể sử dụng được ở cấp ứng dụng.
Tuy cơ chế tấn công thể hiện mức độ tinh chỉnh cao, các chuyên gia Profero phát hiện một lỗ hổng nghiêm trọng trong cách sinh khóa ngẫu nhiên. Thay vì dùng nguồn entropy mạnh, DarkBit chỉ lấy giá trị timestamp Unix tại thời điểm chạy, PID của tiến trình và hai địa chỉ bộ nhớ trên stack để tạo seed cho bộ sinh số giả ngẫu nhiên. Điều này giới hạn không gian khóa xuống khoảng 2^39 khả năng, một phạm vi có thể dò quét được bằng kỹ thuật phù hợp.
Profero tận dụng đặc tính cố định của cấu trúc header trong tệp VMDK để kiểm tra khóa khả thi mà không cần giải mã toàn bộ tệp. Bằng cách chỉ thử giải mã 16 byte đầu và đối chiếu với mẫu header hợp lệ, họ nhanh chóng loại trừ phần lớn tổ hợp sai, rút ngắn đáng kể thời gian tìm khóa đúng. Ngoài ra, nhiều tệp VMDK thực chất là sparse file chứa phần lớn vùng trống, cho phép quét trực tiếp hệ thống tệp bên trong và trích xuất dữ liệu chưa bị mã hóa mà bỏ qua bước giải mã hoàn chỉnh.
Hiện DarkBit đang mở rộng chiến dịch tấn công toàn cầu vào VMware ESXi, trong đó Việt Nam có nguy cơ bị ảnh hưởng. Nhóm khai thác lỗ hổng và thông tin đăng nhập để chiếm quyền điều khiển, mã hóa dữ liệu và gây gián đoạn dịch vụ.
Khuyến cáo dành cho quản trị viên:
Ngày 28/1/2023, ba UAV tấn công nhà máy đạn dược của Bộ Quốc phòng Iran ở Isfahan, trong khi nhiều vụ nổ khác được ghi nhận tại các cơ sở dầu ở Tabriz, Karaj và Azarshahr. Ngay sau đó, một tổ chức lớn đã liên hệ với đội ứng cứu sự cố Profero khi phát hiện hàng loạt máy trạm nhân viên cùng máy chủ ESXi bị mã hóa bởi ransomware DarkBit. Công cụ tấn công chính là esxi.darkbit, phần mềm độc hại viết bằng C++ sử dụng thư viện mật mã Crypto++ và được thiết kế chuyên biệt để mã hóa VMFS trên máy chủ ESXi.
Mẫu ransomware này khi chạy yêu cầu tham số dòng lệnh rõ ràng, bao gồm đường dẫn tới vùng lưu trữ VMFS, khoảng thời gian chờ trước khi bắt đầu mã hóa và danh sách máy ảo sẽ bị tấn công. Bộ mã độc được triển khai với thuật toán AES-128 ở chế độ CBC, mỗi khóa đối xứng dài 16 byte và được bảo vệ bằng lớp mã hóa bất đối xứng RSA-2048, khiến việc giải mã thủ công gần như bất khả thi nếu không có khóa riêng.
DarkBit không mã hóa toàn bộ dữ liệu theo kiểu tuyến tính mà áp dụng chiến lược “cắn chọn lọc” để tối ưu tốc độ và giữ nguyên khả năng phá hoại. Với tệp nhỏ hơn 6,55MB, nó xử lý từng khối dữ liệu 1MB (0x100000 byte) rồi bỏ qua 10MB tiếp theo (0xa00000 byte). Với tệp lớn hơn, kích thước khối mã hóa được nâng lên 2MB (0x200000 byte) và khoảng bỏ qua được tính theo công thức (FILESIZE / 0x32) – 0x200000, giúp kẻ tấn công vừa giảm thời gian mã hóa vừa khiến dữ liệu không thể sử dụng được ở cấp ứng dụng.
Tuy cơ chế tấn công thể hiện mức độ tinh chỉnh cao, các chuyên gia Profero phát hiện một lỗ hổng nghiêm trọng trong cách sinh khóa ngẫu nhiên. Thay vì dùng nguồn entropy mạnh, DarkBit chỉ lấy giá trị timestamp Unix tại thời điểm chạy, PID của tiến trình và hai địa chỉ bộ nhớ trên stack để tạo seed cho bộ sinh số giả ngẫu nhiên. Điều này giới hạn không gian khóa xuống khoảng 2^39 khả năng, một phạm vi có thể dò quét được bằng kỹ thuật phù hợp.
Profero tận dụng đặc tính cố định của cấu trúc header trong tệp VMDK để kiểm tra khóa khả thi mà không cần giải mã toàn bộ tệp. Bằng cách chỉ thử giải mã 16 byte đầu và đối chiếu với mẫu header hợp lệ, họ nhanh chóng loại trừ phần lớn tổ hợp sai, rút ngắn đáng kể thời gian tìm khóa đúng. Ngoài ra, nhiều tệp VMDK thực chất là sparse file chứa phần lớn vùng trống, cho phép quét trực tiếp hệ thống tệp bên trong và trích xuất dữ liệu chưa bị mã hóa mà bỏ qua bước giải mã hoàn chỉnh.
Hiện DarkBit đang mở rộng chiến dịch tấn công toàn cầu vào VMware ESXi, trong đó Việt Nam có nguy cơ bị ảnh hưởng. Nhóm khai thác lỗ hổng và thông tin đăng nhập để chiếm quyền điều khiển, mã hóa dữ liệu và gây gián đoạn dịch vụ.
Khuyến cáo dành cho quản trị viên:
- Cập nhật bản vá bảo mật ESXi ngay khi VMware phát hành, ưu tiên các lỗ hổng nghiêm trọng
- Tắt truy cập quản trị ESXi từ internet, chỉ cho phép kết nối qua mạng nội bộ hoặc VPN bảo mật
- Bật xác thực đa yếu tố (MFA) và sử dụng mật khẩu mạnh, duy nhất cho tài khoản quản trị
- Sao lưu dữ liệu định kỳ và lưu bản sao offline để tránh bị mã hóa cùng hệ thống.
Tổng hợp