Компрометация гипервизора или связанной с ним инфраструктуры может поставить под угрозу целую экосистему серверов, баз данных и бизнес‑приложений. Неудивительно, что хакерские группы все чаще фокусируют свои атаки на VMware ESXi, создавая специализированные программы‑шифровальщики, нацеленные на файлы виртуальных машин, такие как *., *., *., *., *. и другие. Сегодня мы рассмотрим конкретный случай, в котором был обнаружен бинарный ELF-файл с именем encrypt и сопровождающий его Bash-скрипт encrypt.. Я подробно опишу этапы атаки: от проникновения в сеть и получения доступа к ESXi до запуска файлов, шифрования виртуальных дисков и устранения следов, что оставляет жертву перед выбором — заплатить выкуп или потерять данные.
Уязвимость и общая схема атаки
Чтобы понять всю глубину этого инцидента, нужно рассмотреть последовательность действий атакующих от момента эксплуатации уязвимости CVE-2021-44228 на VMware Horizon до непосредственного запуска шифрования на ESXi. Уязвимость, получившая название Log4Shell, стала широко известна зимой 2021–2022 годов и давала возможность злоумышленникам выполнять произвольный код в контексте сервера, где используется логирующая библиотека Log4j уязвимых версий. VMware Horizon, будучи сложным продуктом, базирующимся на Java и в прошлом включавшим уязвимые компоненты, иногда оставался непропатченным, что открывало возможность провести RCE-атаку (remote code execution).
Злоумышленник, имея специальный эксплоит, мог переслать серверу Horizon пакет, включавший вызов к JNDI с вредоносным классом. Библиотека Log4j динамически загружала его и исполняла. Как только этот класс попадал в среду исполнения, он раскрывал перед атакующим безграничные возможности — от установки дополнительного malware-инструментария до внедрения скриптов и эскалации на уровень локального администратора. Именно так, согласно собранным данным, в ряде случаев удавалось проникнуть в корпоративную сеть и скомпрометировать сервер Horizon.
После эксплуатации уязвимости CVE-2021-44228 атака не останавливается на одной машине, ведь обычно злоумышленникам интересны более масштабные цели. Поэтому они анализируют сетевую среду, отыскивают уязвимые узлы и, самое важное, осуществляют атаку SAM-хранилища в попытке извлечь NTLM-хеш локального администратора. Если в компании на многих серверах используется один и тот же пароль локального админа (или хотя бы на нескольких ключевых машинах), это дает атакующим возможность перемещаться по сети (lateral movement) при помощи pass-the-hash.
Когда обнаруживается узел, где запущена сессия пользователя из группы «Администраторы домена», то дамп lsass. или аналогичное средство позволяет получить NTLM-хеш доменного админа, после чего злоумышленники могут выполнить любые действия от имени доменного администратора, в том числе получить доступ к ESXi, если настроена аутентификация через доменные учетные записи.
Если учетка Domain Admin без жесткой изоляции тоже имеет право подключаться к ESXi, то злоумышленники этим непременно воспользуются, ведь, овладев доменными привилегиями, они без труда загрузят нужную вредоносную программу в / или другой каталог на гипервизоре (с помощью SCP или иным способом). В нашем случае атакующие загружают файлы encrypt и encrypt. — двух компонентов, которые действуют в связке.
Анализ вредоносных файлов
Анализ показал, что ELF-бинарь encrypt представляет собой модуль‑вымогатель, написанный под 64-битную Linux-платформу. В ESXi внутренне используется Linux-образ, поэтому запуск ELF-файла напрямую там возможен, особенно если установлен параметр execInstalledOnly (или скомпилированы нужные shared-библиотеки).
Логика запуска файла encrypt — обработка ошибки, когда нет ссылки на файл для шифрования. Если ссылка присутствует, то запускается процесс шифрования.
Бинарь при старте ждет от пользователя аргумента — пути к файлу, который будет шифроваться. При этом, если верить дизассемблеру, в коде реализованы криптопримитивы Curve25519 (для обмена или генерации ключей) и Sosemanuk (для быстрого шифрования). Давай разберем всю последовательность действий этой софтины.
Вот примерный пошаговый алгоритм выполнения функции.
-
Открытие файла. Файл открывается для чтения и записи в бинарном режиме. Если открыть файл не удалось (
fopen64вернулNULL), функция возвращает 1.
Логика основной функции encrypt_file -
Выделение памяти под ключ и инициализация базы данных значениями.
Выделение памяти под ключ и инициализация базы данных значениями -
Декодирование строки Base64 и генерация ключа.
Декодирование строки Base64 и генерация ключа
В коде можно найти вот такие константы:
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/
Они используются для Base64 в процессе декодирования встроенной строки‑ключа, «вшитой» прямо в бинарь. Исходная длина decoded_length записывается сюда же, прочитанная строка используется для генерации нового ключа функцией generate_key.
Функция generate_key принимает шесть аргументов:
-
_int64— первый приватный ключ для Curve25519;privateKey1 -
_int64— второй приватный ключ для Curve25519;privateKey2 -
_BYTE— указатель на буфер состояния Sosemanuk (поточного шифра);*sosemanukStateBuffer -
_BYTE— указатель на 32-байтовый массив для работы с Curve25519;*curve25519PrivateArray -
_int64— буфер для результата первого вызова функции curve25519_donna;sharedSecret1 -
_int64— буфер для результата второго вызова функции curve25519_donna.sharedSecret2
Шаги выполнения этой части вредоносного приложения.
- Очистка памяти. На этом этапе очищаются массивы для последующего использования, чтобы гарантировать отсутствие остаточных данных.
- Модификация битов (в первом и последнем байтах массива). Это стандартная процедура для корректной настройки закрытого ключа для алгоритма Curve25519.
- Генерация общего секрета с использованием алгоритма Диффи — Хеллмана посредством Curve2579. Функция
curve25519_donnaзадействована для выполнения операций Диффи — Хеллмана с использованием алгоритма Curve25519. ЗначенияsharedSecret1иsharedSecret2генерируются с помощью закрытого ключаcurve25519PrivateArrayи двух разных открытых ключейprivateKey1иprivateKey2. - После вычислений закрытый ключ
curve25519PrivateArrayочищается с помощью функцииsecure_memset, чтобы предотвратить утечку чувствительной информации. - Создается хеш SHA-256 от
sharedSecret2.иsha256_init( ) sha256_hash(, подготавливается и вычисляется хеш.) -
secure_memset()очищает память, использованную для вычисления SHA-256, чтобы удалить промежуточные данные.; -
sosemanuk_schedule(готовит внутренние состояния для шифра Sosemanuk на основе ключа (результата SHA-256).) -
sosemanuk_init(завершает инициализацию шифра, передавая подготовленный контекст.) - После использования ключа из SHA-256 он очищается с помощью
secure_memset.
На следующем этапе выполняется инициализация списка разделов и проверка файловой системы.
Эта часть кода, как можно понять из названия функций, отвечает за создание списка разделов init_partition, а также за добавление нового раздела, если таковых нет или получено неверное значение функции check_file_system.
Затем программа проверяет, является ли входная структура валидной MBR или GPT.
Эта функция обеспечивает динамическое увеличение массива (если массив заполнен, его емкость удваивается) и при необходимости управляет созданием новых разделов, предотвращая разрыв между последним разделом и только что созданным.
Затем вредоносная программа начинает шифровать каждую часть блока или файлового раздела.
Эта функция итеративно обрабатывает массив разделов, вызывая одну из двух функций шифрования:
-
encrypt_other_partition— используется для разделов, которые не являются первым или которые имеют специфические типы; -
encrypt_file_block— вызывается для первого раздела без данных или для разделов типа 9 (нестандартный или устаревший тип разделов).
Давай глубже изучим, как устроена каждая из этих функций.
Функция обрабатывает раздел файловой системы блоками по 100 Мбайт, после чего вызывает функцию шифрования блока и выполняет смещение на такой же объем данных.
Функция encrypt_file_block обеспечивает шифрование части файла, обработка которого происходит блоками фиксированного размера (до 10 Мбайт). Сначала выделяется память временного буфера, который будет использоваться для чтения и обработки данных. Затем функция начинает цикл, в котором данные из файла читаются в буфер, шифруются с помощью алгоритма Sosemanuk, а затем записываются обратно в файл на то же место. При вызове encrypt_file_block считывается размер файла, вычисляется количество нужных проходов, а внутри цикла все стандартно. Понятно, что, убедившись в работоспособности своей программы, злоумышленники добавили скрипт для очистки следов.
info
Sosemanuk — потоковый шифр, построенный на основе SNOW 2.0 и идей блок‑шифра Serpent. Он дает высокую пропускную способность при сравнительно небольшой нагрузке на CPU, что очень выгодно для обработки больших файлов.
На завершающем этапе происходит очистка ресурсов и запись первичного публичного ключа.
Функция write_public_key проверяет, передан ли корректный путь к файлу. Если путь не указан, выполнение программы завершается с ошибкой. Затем функция шифрует данные, основываясь на предоставленном списке разделов и ключе шифрования, и сохраняет зашифрованный результат в файл с временным расширением.
После этого формируется новое имя для файла путем добавления того же расширения к исходному пути. Длина нового имени проверяется, чтобы убедиться, что она не превышает допустимого предела. Если это условие соблюдается, временный файл переименовывается в итоговый. В случае успешного выполнения всех операций функция возвращает положительный результат. Если на каком‑либо этапе происходит ошибка, возвращается значение, указывающее на неудачу.
Таким образом, *. оказывается зашифрованным «на месте», при этом сама структура данных на низком уровне портится — виртуальные машины не смогут прочитать нужные блоки и запуститься.
Скрипт encrypt.sh
Второй компонент — encrypt. — крайне важен, потому что этот скрипт выполняет массу подготовительных и завершающих шагов. Прежде всего он проверяет, не был ли уже запущен этот же скрипт раньше. Для этого используется проверка такого вида:
ps -c | grep <script_name> | grep -v $$Она позволяет не конфликтовать с собственным PID.
Если скрипт уже загружен в память, то он завершает свою работу, если нет, производится установка системных параметров:
esxcli system settings advanced set -o /User/execInstalledOnly -i 0
Дальше — изменение лимитов (ulimit ), что снимает ограничения на число процессов и дескрипторов. Это нужно, чтобы параллельно запустить как можно больше процессов шифрования.
Далее идет поиск конфигов ESXi, где содержатся ссылки на . и ., и замена их ссылками на 1., 1. и так далее при помощи sed. Такое действие ломает конфигурацию, чтобы администратор не смог легко запустить виртуальные машины и «в лоб» восстановить их работоспособность. Также скрипт отыскивает и убивает процессы VMX. С точки зрения злоумышленника, это необходимо, чтобы освобожденные виртуальные диски гарантированно лежали на диске в консистентном виде, ведь если идет активная запись, шифрование может столкнуться с конфликтами. Вдобавок остановка виртуальной машины гарантирует, что жертве будет труднее быстро экспортировать виртуальные диски в intact-состоянии.
Когда подготовительная фаза завершается, bash-скрипт запускает собственно бинарь encrypt для всех найденных файлов:
find "/vmfs/volumes/" -type f -name *.vmdk, *.vmx, *.vmsn, *.vswp, *.vmem, *.vmss, *.nvram
Для каждого файла он вызывает nohup /, что означает: процесс запускается в фоне, перенаправив вывод, и позволяет скрипту двигаться дальше, не дожидаясь окончания процесса шифрования.
Параллельно может запуститься множество таких encrypt-процессов, которые максимально быстро зашифруют несколько гигабайтов данных. В процессе скрипт копирует motd в файл How , который размещает рядом с каждым шифруемым файлом, — типичное поведение вымогателей, оставляющих инструкцию для жертвы. Также encrypt. может менять index., чтобы при обращении к интерфейсу ESXi жертве показывалось сообщение с требованием выкупа.
Последним шагом идет удаление логов (find / ), правка cron (удаление строк либо подмена crontabs/), чтобы скрыть следы проникновения и исключить быстрый rollback конфигурации через встроенные механизмы.
Общий анализ атаки
Чтобы провести более глубокий анализ, важно рассмотреть криптографические детали. Как уже упоминалось, криптографическая эллиптическая кривая Curve25519 обычно используется для вычисления общего секрета по схеме Диффи — Хеллмана, часто при умножении на приватный скаляр, предварительно «маскированный» (сброс младших битов, установка одного из старших). У троянов‑энкодеров этот метод нередко служит для формирования ephemerical-ключа, который потом может быть либо сохранен на стороне преступников, либо упакован в специальный файл. Если у злоумышленников есть «публичная часть», то они смогут расшифровать файлы при помощи хранящегося у них «приватного» компонента.
В комбинированных реализациях также присутствует SHA-256, который хеширует промежуточный ключ, а затем передает его в sosemanuk_schedule для генерации раундовых подключей. Авторы троянов очень любят Sosemanuk за высокую скорость, которая критически важна при шифровании больших файлов, таких как *., достигающих десятков гигабайтов. Возникает вопрос: как минимизировать риск такой атаки?
Наиболее важными мерами можно считать следующие. Во‑первых, регулярно обновлять VMware Horizon и связанные с ней Java-компоненты, что позволяет закрыть уязвимость Log4Shell. Во‑вторых, категорически запретить использовать единый пароль локального администратора на многих серверах: если бы злоумышленник не смог применить NTLM-хеш локального админа, он не смог бы расширить свое присутствие в сети и дойти до ESXi. В‑третьих, нужно избегать сценариев, где Domain Admin обладает SSH-доступом к гипервизору.
Лучшей практикой остается сегментация управления: ESXi отделяется от доменных учетных записей, доступ к SSH разрешается только через уникальных локальных пользователей с ротацией паролей. Также требуется регулярно контролировать целостность crontab и выполнять ротацию backup-образа ESXi (auto-backup. в ESXi обычно сохраняет конфигурацию, но злоумышленник также может его повредить).
Анализируя поведение bash-скрипта, можно заметить, что он предусматривает и подмену index. внутри /. На практике это делается злоумышленниками, чтобы при заходе на веб‑интерфейс ESXi жертва видела не стандартные экраны, а сообщение наподобие «All your data is encrypted. Pay X BTC or lose everything». В таких сценариях троян действительно выводит из строя систему, ведь ESXi без конфигурации не может запускать виртуалки, а файлы *. становятся бесполезны. Некоторые версии скрипта также меняют / и / на угрожающие послания. Чтобы удостовериться, что все задуманное выполнено, злоумышленники используют команду kill для hostd и vmx, а потом подменяют hostd-probe., rhttpproxy/ и прочие файлы. Это очень агрессивный подход, в результате которого наступает полный паралич инфраструктуры.
Еще один признак продуманности атаки — использование nohup и фоновых процессов. Шифрование больших файлов может занять время, поэтому вредонос запускает несколько процессов, каждый шифрует свою цель, параллельно выполняя операции ввода‑вывода. При наличии хорошей сети хранения данных (SAN) и высоких IOPS сам процесс может идти достаточно быстро. Администратор, заметивший аномальную нагрузку, может попытаться остановить скрипт, но будет уже поздно: процессы шифровальщика все еще запущены. Кроме того, bash-скрипт периодически ждет завершения encrypt, подсчитывая /, чтобы потом выполнить завершающую очистку и восстановить некоторые файлы (например, hostd-probe.).
Авторы трояна также позаботились о том, чтобы удалить файлы журналов с расширением *., которые могли бы пролить свет на происходившие в системе события. На практике многие компании сводят логи ESXi в централизованные источники, но, если этого не делать, расследование может столкнуться с трудностями.
При попытках инцидент‑респонса нередко выясняется, что логи на уровне / просто пусты или уже вычищены. К тому же cron-таски, которые могли бы выполнять резервное копирование, уничтожаются. Злоумышленники после завершения операции восстанавливают / из ., чтобы вернуть ESXi в рабочее состояние, но с зашифрованными VMDK.
Таким образом, архитектура атаки со стороны выглядит следующим образом: в сеть компании проникает хакер через уязвимый Horizon (Log4Shell), получает права локального админа, затем с помощью pass-the-hash доходит до ESXi, загружает туда два файла (encrypt и encrypt.), выставляет им права chmod , выполняет скрипт, который отключает виртуалки, ломает конфиг, запускает массовое шифрование. Затем — чистит логи, подменяет веб‑интерфейс, вставляет сообщения для жертвы и уходит. Компания остается без виртуальных машин и без журналов, зато с инструкцией по оплате выкупа в каждой директории. Основываясь на известных образцах энкодеров, можно сделать вывод, что подобная схема уже неоднократно встречалась, а использование современных криптопримитивов Curve25519 + Sosemanuk надежно блокирует возможность дешифровки файлов без ключа. Администраторам и службам безопасности остается лишь надеяться на офлайн‑бэкапы, которые не были затронуты шифровальщиком.
Как предотвратить?
С точки зрения предотвращения подобных атак важно не только «патчить Horizon» или «не использовать одинаковые пароли», но и грамотно проектировать всю инфраструктуру. Также стоит проводить антивирусный мониторинг, хотя и не всегда это помогает при запуске ELF-файлов в особой среде ESXi. Но по крайней мере анализ системных каталогов / может выявить внезапно появившиеся там исполняемые файлы. При регулярном экспорте логов (syslog) на внешнее хранилище хотя бы удастся понять, когда была выполнена команда kill , когда появились те или иные строки в cron. Это существенно облегчает расследование инцидента.
Если же атака уже произошла, а виртуальные диски зашифрованы, то наилучшее решение — это откат из офлайн‑бэкапов. А при их отсутствии, скорее всего, придется вести переговоры со злоумышленниками. Однако, как показывает практика, такие переговоры не всегда завершаются расшифровкой файлов, ведь хакеры могут запросто исчезнуть, получив деньги. Важно отметить, что некоторые группировки раньше применяли RC4, AES, но теперь все чаще встречаются гибридные схемы (эллиптические кривые и быстрая потоковая криптография). Это говорит о «повзрослевшем» уровне ransomware-разработчиков, которые не хотят оставлять шансов на «самодельный» криптоанализ.
В заключение хочу подчеркнуть, что этот энкодер, сопровождающийся скриптом encrypt., представляет собой изощренный инструмент: бинарь обеспечивает надежное и быстрое шифрование, а bash-скрипт управляет всем процессом от отключения виртуалок и ломки конфигов до уничтожения логов и подмены веб‑интерфейса. Многочисленные команды внутри скрипта показывают, что авторы прекрасно понимают среду ESXi, знают, какие процессы отвечают за работу VM, какие файлы критичны и в каком порядке их надо править.
Наиболее действенный набор защитных мер сводится к тому, чтобы ставить свежие патчи на VMware Horizon (закрывая Log4Shell), не допускать одинаковых NTLM-хешей локального администратора, жестко сегментировать ESXi, отключать неиспользуемые сервисы, регулярно выносить логи в централизованную SIEM или на Syslog-сервер, а также делать полные офлайн‑бэкапы, которые должны храниться вне досягаемости злоумышленников. При появлении в / или в другом каталоге незнакомого ELF-файла и скрипта нужно провести срочную проверку, ведь в случае срабатывания encrypt. последствия могут быть катастрофическими.
Желательно на всякий случай следить за кронтасками, проверяя, не появились ли там посторонние строки. Важно включить многофакторную аутентификацию (MFA), особенно для систем, использующих Horizon, чтобы повысить уровень защиты от несанкционированного доступа. Также рекомендуется регулярно проверять настройки системы на соответствие Hardening Guide от VMware. Это позволит отслеживать и корректировать конфигурацию в соответствии с рекомендациями по безопасности.
Все компоненты ESXi должны быть подписаны цифровой подписью VMware, а изменение уровня приемлемости (Acceptance Level) для неподписанных модулей не рекомендуется и запрещено в сертифицированных средах, таких как PCI DSS. Если необходимо обеспечить максимальную безопасность, можно активировать Lockdown Mode и настроить пустое значение DCUI.. Это полностью отключает доступ через SSH, CLI и DCUI, в дополнение к стандартным Secure Boot и Host Profiles. Однако этот подход усложняет диагностику и восстановление системы в случае сбоев, поэтому он применяется только в средах с очень высокими требованиями по безопасности. Кроме того, доступ через SSH и CLI следует минимизировать, используя их только в случае крайней необходимости и отключая после завершения работы.
Остается лишь надеяться, что сегодняшний разбор этой вредоносной программы поможет администраторам и специалистам по информационной безопасности вовремя распознать угрозу, принять меры и организовать грамотную защиту своей виртуальной инфраструктуры.