1. Anasayfa
  2. Security
  3. Alakalı Konular

DarkBit Ransomware VMware ESXi Saldırıları

Veli Kadir KOZAN tarafından
26/08/2025 Okuma süresi: 3dk, 42sn

Ağustos 2025’te araştırmacılar DarkBit grubunun VMware ESXi ortamlarını hedefleyen özel bir fidye yazılımı kampanyasını ayrıntılandırdı.

Saldırganlar sanal makineleri durdurup VMFS veri depolarındaki VMDK/VMX/NVRAM gibi dosyaları seçici biçimde şifreliyor, dosya adlarının sonuna .DARKBIT uzantısı ekliyor.

Şifreleme AES-128-CBC ile dosya başına benzersiz anahtar/IV kullanılarak yapılıyor bu anahtarlar ikili içine gömülü RSA-2048 genel anahtarla sarılıp dosya sonuna ekleniyor. Ancak anahtar üretiminde kullanılan zayıf rastgelelik ve VMDK başlıklarının öngörülebilirliği sayesinde olay müdahale ekipleri birçok vakada şifresiz kurtarım veya anahtar çıkarımı başarabilmiştir.

Tehdit Modeli ve Etki

  • Hedef: Kurumsal VMware ESXi hipervizörleri, vCenter tarafından yönetilen ya da bağımsız hostlar.
  • Erişim/İlerleme: Saldırganlar ESXi kabuğuna eriştikten sonra esxcli ile VM’leri durduruyor, sonrasında özel bir Linux ELF ikilisini (esxi.darkbit) çalıştırıyor.
  • Şifreleme Mantığı:
    • Algoritma: AES-128-CBC (dosya başına ayrı anahtar/IV) → anahtar/IV, dosya sonuna RSA-2048 ile şifrelenmiş paket olarak ekleniyor; ayrıca DARKBIT_ENCRYPTED_FILES işaretleyicisi bulunuyor.
    • Kısmi şifreleme: Küçük dosyalarda 0x100000 bayt şifrele, 0xA00000 atla; büyük dosyalarda atlama boyutu (FILESIZE/0x32) – 0x200000 formülüyle hesaplanıyor. Amaç, hızlı fakat işlevsel verisizlik.
    • Uzantı: Hedeflenen dosyaların sonuna .DARKBIT ekleniyor.
  • Yan Etkiler: Aynı datastore’u paylaşan hostlarda eşzamanlı çalıştırma yarış koşuluna yol açarak bazı dosyalarda bozulma/wiper-vari etki yaratabiliyor.

Örnek Göstergeler (IOCs)

  • Binary adı: esxi.darkbit (C++/Crypto++ ile derlenmiş ELF)
  • SHA256: 0bb1d29ede51d86373e31485d0e24701558e50856722357372518edfb98265a1
  • Dosya imzası/son ek: DARKBIT_ENCRYPTED_FILES + 0x100 bayt RSA kapsadığı blok
  • Uzantı: .DARKBIT
  • Komut satırı biçimi: 
./esxi <path_to_vmfs> <sleep_seconds> <VM_listesi>
# Örnek: ./esxi /vmfs 0 esx01 esx02

  • Şifreleme sağlam algoritmalar kullanıyor olsa da anahtar/IV üretimi zayıf. timestamp + PID + iki stack adresi toplamına dayanıyor. Bu olası tohum alanını yaklaşık 2^39 ile sınırlıyor.
  • VMDK dosyaları bilinen sihirli baytlara ve başlık düzenine sahip; ilk blok için yaklaşık 50 bit bilinen düz metin mevcut olduğundan, AES-CBC ilk blok üzerinde kripto-analiz mümkün.
  • Birçok VMDK dosyası sparse yapıdadır; DarkBit’in “aralıklı şifrelemesi” boş bloklara çarptığından, iç dosya sisteminde yürüyerek şifresiz çok sayıda dosya çekmek mümkün olmuştur.

BleepingComputer ve Profero bu yaklaşımın gerçek bir olayda fidye ödemeden dosya kurtarmayı sağladığını doğruluyor. (Profero ise genel kullanıma açık bir dekoder yayımlamadığını belirtiyor.)

ESXi’de Tespit Önerileri

Günlükler: /var/log/shell.log, /var/log/hostd.log, /var/log/vmkernel.log, vpxa.log (vCenter).
Aranacak işaretler:

  • Kısa bir zaman penceresinde birçok VM’in durdurulması
  • shell.log içerisinde şüpheli ikili çalıştırma (./esxi, bilinmeyen ELF)
  • Datastore’larda .DARKBIT uzantılı yeniden adlandırmalar
  • VMDK sonlarında DARKBIT_ENCRYPTED_FILES

Örnek Grep:

# shell erişimi ve esxcli dalgaları
grep -Ei "esxcli|vim-cmd|Powering off" /var/log/shell.log /var/log/hostd.log

# şüpheli ELF ve .DARKBIT izi (datastore yolunu uyarlayın)
find /vmfs/volumes -type f -name "*.DARKBIT" -o -iname "esxi*" -exec ls -l {} \;

SIEM/Syslog sorgu ipuçları:

  • “multiple VM power-off / unregister” olaylarını 5–10 dk penceresinde kümelendirin
  • Aynı kullanıcı/IP’den ardışık SSH oturumları + shell komutları korelasyonu
  • Datastore’da kısa sürede yüksek sayıda rename/write (IO burst) alarmı

Acil Müdahale (IR) Kontrol Listesi

  1. İzolasyon: Etkilenen ESXi hostlarını yönetim ağından ve vCenter’dan ayırın; oturumları kapatın.
  2. Kanıt koruma: hostd.log ve vpxa.log ve vm-support paketlerini alın yeniden başlatmadan önce imaj almayı değerlendirin.
  3. Süreç avı: Devam eden şifreleme varsa şüpheli süreçleri öldürün; yeni şifrelemeyi durdurun.
  4. Kapsam belirleme: .DARKBIT uzantılı dosyaları ve DARKBIT_ENCRYPTED_FILES imzasını envanterleyin.
  5. Kurtarma stratejisi:
    • Immutable/air-gapped yedeklerden geri dönün veya
    • DarkBit’e özgü zayıflıklardan yararlanma konusunda tecrübeli IR ekibi ile çalışın (VMDK header tabanlı anahtar çıkarımı + sparse disk yürütme).

Not: Profero, genel bir “tek tık decryptor” yayımlamadı; yanlış denemeler dosya bütünlüğünü bozabilir. Profesyonel destek tavsiye edilir.

Etiketler
İlginizi Çekebilir
18 Şub, 2025 VMware ESXi Deneme Lisansını Sıfırlamak

Benzer Yazılar