เตือนผู้ใช้ IPMI Remote Consoles อาจเสี่ยงต่อการโดน Ransomware “JungleSec”

เมื่อประมาณต้นเดือนพฤศจิกายนที่ผ่านมามีการพบ Ransomware ที่ชื่อว่า “JungleSec” ซึ่งใช้งานผ่านการ์ด IPMI (Intelligent Platform Management Interface-ใช้เพื่อบริหารจัดการเซิร์ฟเวอร์จากระยะไกล) ที่ไม่ได้มีการเข้ารหัส

Ransomware นี้ถูกพบใน Windows, Linux, และ Mac ซึ่งยังไม่มีรายละเอียดวิธีการโดน Ransomware นี้ แต่จากการที่ทีมงานของ BleepingComputer ได้ทำการสอบถามผู้ที่โดน Ransomware นี้ ส่วนใหญ่จะใช้งานเซิร์ฟเวอร์ของลีนุกซ์ และโดน Ransomware นี้ผ่านอุปกรณ์ IPMI ที่ไม่ได้มีการเข้ารหัส

เหยื่อทั้งสองรายนี้ใช้งานอุปกรณ์ IPMI และเซิร์ฟเวอร์ลีนุกซ์เหมือนกัน แต่ต่างกันตรงที่ คนแรกใช้งาน IPMI โดยใช้รหัสผ่านที่บริษัทผู้ผลิตตั้งค่าไว้ ส่วนอีกคนหนึ่งปิดการใช้งานผู้ใช้ระดับแอดมิน ดังนั้นเมื่อทั้งคู่เข้าถึงเซิร์เวอร์ แฮกเกอร์จะทำการรีบูทเครื่องคอมพิวเตอร์ให้สู่โหมด single user (ผู้ใช้งานระบบปฏิบัติการได้เพียง 1 คนเท่านั้น) เพื่อที่จะเข้าถึง root ได้

เมื่ออยู่ในโหมด single user แฮกเกอร์จะดาวน์โหลดและคอมไพล์โปรแกรมการเข้ารหัส ccrypt (ccrypt-เป็นเครื่องมือการเข้าและถอดรหัสไฟล์กับสตรีม มันทำงานอยู่บนอัลกอริทึม Rijndael เป็น block cipher เวอร์ชั่นนี้นิยมใช้ใน Advanced Encryption Standard ซึ่งเชื่อกันว่า cipher นี้มีระบบรักษาความปลอดภัยที่แข็งแรงมาก) เมื่อดาวน์โหลด ccrypt แล้ว Hacker จะทำการเข้ารหัสไฟล์ผู้ใช้ โดยใช้คำสั่งโจมตี

/usr/local/bin/ccrypt -e -f -S junglesec@anonymousspeechcom -s -r -l /var/lib

คำสั่งนี้จะช่วยให้แฮกเกอร์สามารถได้รหัสผ่านจากนั้นนำรหัสผ่านที่ได้ไปใช้เพื่อรหัสไฟล์

Alex Negulescu หนึ่งในเหยื่อที่โดน Ransomware นี้ ได้บอกกับ BleepingComputer ว่า แฮกเกอร์จะใช้คำสั่ง sudo สร้างข้อความขึ้นแจ้งกับผู้ใช้ว่าให้อ่านไฟล์ ENCRYPTED.md
ไฟล์ ENCRYPTED.md จะเป็นไฟล์ ransom note (จดหมายเรียกค่าไถ่) ของ Ransomware “JungleSec” ภายในจดหมายระบุว่าให้ติดต่อแฮกเกอร์ที่ junglesec@anonymousspeech.com และส่ง bitcoin 0.3 bitcoin ไปยังที่อยู่อยู่ที่ส่งมาให้เพื่อรับไฟล์กลับ


ที่มาภาพ: BleepingComputer

เหยื่ออีกรายหนึ่งที่ใช้ชื่อใน Twitter ว่า pupper ได้กล่าวว่า แฮกเกอร์จะทำการค้นหาและติดตั้งดิสก์ virtual machine (VM) แต่มีปัญหาในการเข้ารหัสอย่างถูกต้อง

แฮกเกอร์จะติดตั้งดิสก์ qemu/kvm ทั้งหมด เพื่อช่วยให้เข้ารหัสไฟล์ได้ทั้งหมดใน VM แต่อย่างไรก็ดี แฮกเกอร์ไม่สามารถจัดการทำให้ติดเชื้อ ransomware ได้อีกผ่านอีกทาง home directory ที่ไม่ได้ใช้กับเครื่อง KVM (Kernel-base virtual machine เป็นอุปกรณ์สำหรับ ผู้ที่ต้องควบคุมใช้งานคอมพิวเตอร์จำนวนมากกว่า 1 เครื่อง พร้อมกัน)

นอกจากนี้ pupper ยังบอกอีกว่า แฮกเกอร์ได้ทิ้ง backdoor เอาไว้ เพื่อดักฟัง TCP port 64321 กับสร้างกฎของ firewall เพื่ออนุญาตให้เข้าสู่พอร์ตนี้ได้ ซึ่งไม่มีทางรู้ได้เลยว่าโปรแกรมนี้ถูกใช้เป็น backdoor

-A INPUT -p tcp -m tcp --dport 64321 -j ACCEPT

มีรายงานหลายฉบับเกี่ยวกับเกี่ยวกับผู้ที่ตกเป็นเหยื่อของการเรียกค่าไถ่ที่ได้จ่ายเงินให้กับแฮกเกอร์ไปแล้ว แต่ก็ไม่ได้รับการตอบกลับจากแฮกเกอร์ และก็ไม่ได้ข้อมูลกลับคืนมาขณะที่กฎโดยทั่วไปคือ การไม่จ่ายเงินค่าไถ่ ซึ่งจะเป็นการกระตุ้นให้มีการพัฒนาก ransomware ต่อไป ซึ่งไม่ควรทำตามเหตุผลนี้

หากมีการใช้งาน IPMI จะต้องมีการเปลี่ยนรหัสผ่านที่ตั้งมาจากโรงงานผู้ผลิตก่อน เพราะส่วนมากบริษัทผู้ผลิตจะตั้งเป็น Admin / Admin
ดังนั้นผู้ใช้จะต้องทำการเปลี่ยนรหัสผ่านทันที

ผู้ดูแลระบบจะต้องตั้งค่า ACL (Access Control List) อนุญาตเฉพาะ IP Address ที่กำหนดเท่านั้นที่จะสามารถเข้าถึง IPMI ได้ นอกจากนี้ตั้งค่าให้ IPMI ให้ฟังเพียงแค่ IP Address ที่อยู่ภายในเท่านั้น ซึ่งสามารถเข้าถึงได้โดย local admin เท่านั้น หรือผ่านการเชื่อมต่อ VPN เท่านั้น

Alex Negulescu ยังให้คำแนะนำเพิ่มเติมว่า ไม่เพียงใน IPMI เท่านั้น ต้องมีการเพิ่มรหัสผ่านให้กับ bootloader “GRUB” อีกด้วย จะทำให้แฮกเกอร์ทำการรีบูทด้วยโหมด single user ผ่าน IPMI remote console ได้ยากขึ้นอีกด้วย

ที่มา: Bleeping computer