GenelSiber Güvenlik

Sanallaştırılmış Saldırıların Mekanizasyonu

teknomers
teknomers


Contents

13 Ocak 2025Hacker HaberleriTehdit Tespiti / Ağ Güvenliği

2024 yılında VMware ESXi sunucularını hedef alan fidye yazılımı saldırıları endişe verici seviyelere ulaştı ve ortalama fidye talebi hızla 5 milyon dolara yükseldi. Doğrudan internete maruz kalan yaklaşık 8.000 ESXi ana bilgisayarıyla (Shodan’a göre), bu saldırıların operasyonel ve ticari etkisi çok derin.

Günümüzde ESXi sunucularına saldıran Fidye Yazılımı dizilerinin çoğu, kötü şöhretli Babuk fidye yazılımının güvenlik araçlarının tespit edilmesini önleyecek şekilde uyarlanmış çeşitleridir. Üstelik saldırganlar, İlk Erişimi fidye yazılımı grupları da dahil olmak üzere diğer tehdit aktörlerine satarak giriş noktalarından para kazandıkça erişilebilirlik daha yaygın hale geliyor. Kuruluşlar sürekli genişleyen bir cephede karmaşık tehditlerle uğraşırken, yeni güvenlik açıkları, yeni giriş noktaları, para kazandıran siber suç ağları ve daha fazlası, gelişmiş güvenlik önlemlerine yönelik giderek artan bir aciliyet ortaya çıkarıyor. güvenlik önlemleri ve uyanıklık.

ESXi’nin mimarisi

Bir saldırganın ESXi ana bilgisayarının kontrolünü nasıl ele geçirebileceğini anlamak, sanallaştırılmış ortamların ve bileşenlerinin mimarisini anlamakla başlar. Bu, potansiyel güvenlik açıklarının ve giriş noktalarının belirlenmesine yardımcı olacaktır.

Buna dayanarak, ESXi sunucularını hedef alan saldırganlar, birden fazla ESXi ana bilgisayarını yöneten merkezi düğümü arayabilir. Bu onların etkilerini en üst düzeye çıkarmalarını sağlayacaktır.

Bu bizi VMware altyapısının merkezi yönetimi olan ve çeşitli ESXi ana bilgisayarlarını yönetmek için tasarlanmış vCenter’a getiriyor. VCenter sunucusu, ESXi ana bilgisayar yönetimini varsayılan “vpxuser” hesabıyla düzenler. Kök izinlerine sahip olan “vpxuser” hesabı, ESXi ana bilgisayarlarında bulunan sanal makineler üzerindeki yönetim işlemlerinden sorumludur. Örneğin, VM’lerin ana bilgisayarlar arasında aktarılması ve etkin VM’lerin yapılandırmalarının değiştirilmesi.

Bağlı her ESXi ana bilgisayarının şifrelenmiş parolaları, vCenter sunucusundaki bir tabloda saklanır. VCenter sunucusunda saklanan gizli bir anahtar, parola şifresinin çözülmesini ve dolayısıyla ESXi ana bilgisayarlarının her biri üzerinde tam kontrol sağlanmasını kolaylaştırır. Şifresi çözüldükten sonra “vpxuser” hesabı, yapılandırmaları değiştirmek, diğer hesapların şifrelerini değiştirmek, SSH oturumu açmak ve fidye yazılımı çalıştırmak dahil olmak üzere kök izin işlemleri için kullanılabilir.

ESXi’de şifreleme

Fidye yazılımı kampanyaları, kurtarmayı son derece zorlaştırmayı ve kuruluşu fidyeyi ödemeye zorlamayı amaçlamaktadır. ESXi saldırılarında bu, operasyonel süreklilik için gerekli olan dört dosya türünün hedeflenmesiyle gerçekleştirilir:

  1. VMDK Dosyaları: Sanal makinenin sabit sürücüsünün içeriğini depolayan bir sanal disk dosyası. Bu dosyaların şifrelenmesi sanal makineyi tamamen çalışmaz hale getirir.
  2. VMEM Dosyaları: Her sanal makinenin disk belleği dosyası. VMEM dosyalarını şifrelemek veya silmek, askıya alınan VM’leri devam ettirmeye çalışırken önemli veri kaybına ve komplikasyonlara neden olabilir.
  3. VSWP Dosyaları: Ana bilgisayarın fiziksel belleğinin sağlayabileceği kapasitenin ötesinde VM belleğinin bir kısmını depolayan takas dosyaları. Bu takas dosyalarının şifrelenmesi VM’lerde çökmelere neden olabilir.
  4. VMSN Dosyaları: VM’lerin yedeklenmesi için anlık görüntüler. Bu dosyaları hedeflemek olağanüstü durum kurtarma süreçlerini karmaşıklaştırır.

ESXi sunucularına yapılan fidye yazılımı saldırılarında yer alan dosyalar büyük olduğundan, saldırganlar genellikle hibrit şifreleme yaklaşımını kullanır. Simetrik şifrelemenin hızını asimetrik şifrelemenin güvenliğiyle birleştirirler.

  • Simetrik şifreleme – AES veya Chacha20 gibi bu yöntemler, büyük hacimli verilerin şifrelenmesinde hız ve verimlilik sağlar. Saldırganlar, dosyaları hızlı bir şekilde şifreleyerek güvenlik sistemleri tarafından tespit edilme ve hafifletilme fırsat penceresini azaltabilir.
  • Asimetrik şifreleme – RSA gibi asimetrik yöntemler, bir genel anahtar ve bir özel anahtar içerdiğinden ve karmaşık matematiksel işlemler gerektirdiğinden daha yavaştır.

Bu nedenle fidye yazılımlarında asimetrik şifreleme, verinin kendisinden ziyade öncelikle simetrik şifrelemede kullanılan anahtarların güvenliğini sağlamak için kullanılır. Bu, şifrelenmiş simetrik anahtarların şifresinin yalnızca karşılık gelen özel anahtara sahip olan biri, yani saldırgan tarafından çözülebilmesini sağlar. Bunu yapmak, şifrenin kolayca çözülmesini önleyerek saldırgan için ekstra bir güvenlik katmanı ekler.

Risk Azaltımı için 4 Temel Strateji

VCenter güvenliğinin risk altında olduğunu kabul ettikten sonraki adım, potansiyel saldırganların yoluna engeller koyarak savunmayı güçlendirmektir. İşte bazı stratejiler:

  1. Düzenli VCSA Güncellemeleri: Her zaman VMware vCenter Server Appliance’ın (VCSA) en son sürümünü kullanın ve güncel tutun. Windows tabanlı bir vCenter’dan VCSA’ya geçiş, özellikle vSphere’i yönetmek için tasarlandığından güvenliği artırabilir.
  2. MFA’yı Uygulama ve Varsayılan Kullanıcıları Kaldırma: Yalnızca varsayılan şifreleri değiştirmekle kalmayın; ekstra bir koruma katmanı eklemek için hassas hesaplar için güçlü Çok Faktörlü Kimlik Doğrulama (MFA) ayarlayın.
  3. Etkili Tespit Araçlarını Kullanın: Algılama ve önleme araçlarını doğrudan vCenter’ınızda kullanın. EDR’ler, XDR’ler veya üçüncü taraf araçlar gibi çözümler izleme ve uyarılara yardımcı olarak saldırganların başarılı olmasını zorlaştırır. Örneğin, vpxuser hesabına yapılan olağandışı erişim girişimlerini veya vCenter ortamındaki şifrelenmiş dosya etkinliğine yönelik uyarıları özel olarak izleyen izleme politikaları ayarlamak.
  4. Ağ Segmentasyonu: Trafik akışını kontrol etmek ve saldırganların yanal hareket riskini azaltmak için ağınızı bölümlere ayırın. VCenter yönetim ağını diğer segmentlerden ayrı tutmak, olası ihlallerin kontrol altına alınmasına yardımcı olur.

Sürekli Test: ESXi Güvenliğinizi Güçlendirme

VCenter’ınızı ESXi fidye yazılımı saldırılarına karşı korumak hayati önem taşır. Güvenliği ihlal edilmiş bir vCenter’a bağlı riskler, kuruluşunuzun tamamını etkileyebilir ve kritik verilere güvenen herkesi etkileyebilir.

Düzenli testler ve değerlendirmeler, güvenlik açıklarının ciddi sorunlara dönüşmeden önce tespit edilmesine ve giderilmesine yardımcı olabilir. uygulamanıza yardımcı olabilecek güvenlik uzmanlarıyla birlikte çalışın. Sürekli Tehdit Maruziyeti Yönetimi (CTEM) kuruluşunuza özel strateji.



siber-2

Bu 2 TB Samsung SSD’yi Amazon’da yarı fiyatına alın
Hi-Fi Rush Güncellemesi 3 Kötü Kostümler, Erişilebilirlik Seçenekleri ve Hata Düzeltmeleri Getiriyor
Corsair, RTX 5000 GPU’lu önceden inşa edilmiş PC’lerinden sadece birinin çip seviyesi hatasından muzdarip olduğunu söylüyor, bu da Nvidia’nın iddia ettiği kadar nadir olduğunu öne sürüyor
Birden Fazla Assassin’s Creed Yeniden Yapımı Yapılıyor, Potansiyel Olarak Black Flag Dahil
Bu Samsung Neo QLED 8K TV, şimdiye kadarki en düşük fiyatına düştü
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale OpenAI, yapay zeka düzenlemesinin tercih edilen versiyonunu yeni bir ‘planda’ sunuyor
Sonraki Makale Nvidia CPU’ları düşündüğümüzden daha erken dizüstü bilgisayarlara gelebilir

Sanal Medya

Son Eklenenler

Intel, Wildcat Lake’i 8 çekirdeğe çıkarmayı planlıyor
Donanım
Yeni Yılda Veri Merkezlerine Bir Yıl Süreyle Yasak Geldi
Liste
Rust’ta Yeni Güncelleme ile Gelişmiş Karakter Modelleri Tanıtıldı
Oyun
Yeni Fikirler ve Beklentilerle God Of War Serisi İlerliyor
Oyun
Acil: 900’den Fazla ABD Akaryakıt İstasyonu Tehlikede!
Siber Güvenlik
Gizli Kalmış 5 Laravel 13 Özelliği: Bugün Kullanmayı Değebilir
Yazılım