خطر پنهان در مجازی‌سازی؛ چرا هایپروایزرها به هدف اصلی باج‌افزارها تبدیل شده‌اند

هایپروایزرها ستون فقرات محیط‌های مدرنِ مجازی‌سازی هستند؛ اما در صورت نفوذ، می‌توانند به عامل تشدیدکننده‌ی حمله برای مهاجمان تبدیل شوند. یک رخنه‌ی واحد در این لایه قادر است به‌طور هم‌زمان ده‌ها یا حتی صدها ماشین مجازی را در معرض خطر قرار دهد. برخلاف نقاط پایانی(Endpoints)، هایپروایزرها اغلب با دیدپذیری و لایه‌های حفاظتی محدودی اجرا می‌شوند؛ به‌طوری‌که ابزارهای امنیتی متعارف ممکن است تا زمانی که کار از کار گذشته، اساساً متوجه حمله نشوند.

مهاجمان به‌طور فزاینده‌ای هایپروایزرها را برای استقرار گسترده‌ی باج‌افزار هدف قرار می‌دهند. به‌طور مشخص، در سال ۲۰۲۵ داده‌های پرونده‌های Huntress افزایش خیره‌کننده‌ای در باج‌افزارهای مبتنی بر هایپروایزر نشان داد،سهم این لایه در رمزگذاری مخرب از تنها ۳٪ در نیمه‌ی نخست سال، به ۲۵٪ در نیمه‌ی دوم سال (تا این مقطع) جهش کرده است.عامل اصلی محرک این روند، گروه باج‌افزاری Akira است. این تغییر رویکرد، اهمیت ایمن‌سازی (Hardening) لایه‌ی هایپروایزر را با همان سخت‌گیری‌ای که برای نقاط پایانی و سرورها اعمال می‌شود، برجسته می‌کند.

انتقال حملات باج‌افزاری از نقاط پایانی به لایه‌ی هایپروایزر

در ماه‌های پایانی سال ۲۰۲۵، شرکت Huntress مشاهده کرده است که مهاجمان با هدف دور زدن کنترل‌های امنیتی نقاط پایانی و شبکه، به‌طور مستقیم هایپروایزرها را هدف قرار می‌دهند.

زیربنای اصلی زیرساخت‌های مجازی‌سازی‌شده، هایپروایزر نوع ۱ (Bare Metal) مستقیماً روی سخت‌افزار سرور نصب می‌شود و نقش پایه‌ای زیرساخت را دارد، در حالی که هایپروایزر نوع ۲ (Hosted) به‌صورت یک برنامه کاربردی بر بستر سیستم‌عامل معمولی رایانه اجرا می‌شود. این تغییر تمرکز، از یک الگوی شناخته‌شده پیروی می‌کند.نمونه‌ی مشابه این رویکرد را در حملات به تجهیزات VPN مشاهده کرده‌ایم؛ جایی که عوامل تهدید به این نتیجه می‌رسند که سیستم‌عامل میزبان اغلب اختصاصی یا محدود است و در نتیجه، مدافعان قادر به نصب کنترل‌های امنیتی حیاتی مانند EDR نیستند.

این وضعیت، یک نقطه‌ی کور امنیتی قابل‌توجه ایجاد می‌کند.همین اصل در مورد هایپروایزرهای نوع ۱ نیز صدق می‌کند؛ آن‌ها به هدف نهایی برای سناریوهای نفوذ و گسترش (Land-and-Expand) تبدیل شده‌اند، جایی که امنیت سنتی نقاط پایانی معمولاً به آن دسترسی ندارد.همچنین موارد متعددی مشاهده کرده‌ایم که در آن‌ها اپراتورهای باج‌افزار، Payloadهای باج‌افزاری را مستقیماً از طریق هایپروایزر مستقر می‌کنند و به‌طور کامل از سد حفاظت‌های مرسوم نقاط پایانی عبور می‌کنند.در برخی سناریوها، مهاجمان از ابزارهای داخلی و از پیش‌نصب‌شده مانند OpenSSL برای انجام فرایند رمزگذاری دیسک‌های ماشین‌های مجازی استفاده می‌کنند و بدین ترتیب، نیازی به بارگذاری باینری‌های سفارشی باج‌افزار ندارند.

پس از نفوذ به شبکه، مهاجمان اغلب با استفاده از اعتبارنامه‌های احراز هویت داخلیِ به‌سرقت‌رفته، به سمت هایپروایزرها حرکت جانبی (Lateral Movement) انجام می‌دهند؛ به‌ویژه در محیط‌هایی که تفکیک شبکه (Network Segmentation) نتوانسته دسترسی به صفحه‌ی مدیریتی هایپروایزر را مسدود کند. این اقدام، کنترل سطح بالایی را از طریق یک رابط مدیریتی واحد بر چندین سیستم مهمان در اختیار آن‌ها قرار می‌دهد.

همچنین سوء‌استفاده از ابزارهای مدیریتی Hyper-V را مشاهده کرده‌ایم که برای تغییر تنظیمات ماشین‌های مجازی و تضعیف قابلیت‌های امنیتی به‌کار می‌روند؛ از جمله غیرفعال‌سازی دفاع‌های نقطه‌ی پایانی، دست‌کاری سوئیچ‌های مجازی و آماده‌سازی ماشین‌های مجازی برای استقرار گسترده‌ی باج‌افزار.

ایمن‌سازی دسترسی، اعمال حداقل سطح دسترسی و تفکیک لایه‌ی مدیریتی

اگر مهاجم بتواند به اعتبارنامه‌های مدیریتی هایپروایزر دست پیدا کند، قادر خواهد بود Payloadهای باج‌افزاری را مستقر کند که تمام ماشین‌های مجازی (VM) روی آن میزبان را تحت تأثیر قرار می‌دهند. همچنین استفاده از حساب‌های متصل به دامنه (Domain-Joined)، مانند حساب‌های Active Directory (AD)، برای مدیریت ESXi خطر حرکت جانبی (Lateral Movement) را به‌طور قابل‌توجهی افزایش می‌دهد.در نتیجه راه اندازی اقدامات زیر توصیه می شود:

• استفاده از حساب‌های محلی ESXi

از به‌کارگیری حساب‌های عمومی با سطح دسترسی بالا، مانند Domain Admin، برای مدیریت پرهیز کنید.

• الزام احراز هویت چندمرحله‌ای (MFA)

MFA را برای رابط‌های مدیریتی میزبان و دسترسی به vCenter فعال کنید تا از سوءاستفاده از سرقت اعتبارنامه‌ها جلوگیری شود. این کنترل دفاعی قدرتمند در برابر حملات رایج فیشینگ و Brute Force فراهم می‌کند.

• استفاده از گذرواژه‌های قوی و نگهداری آن‌ها در مخزن امن رمز عبور

اعتبارنامه‌های ESXi باید بسیار قوی باشند و صرفاً در یک Password Vault اختصاصی و امن نگهداری شوند؛ هرگز در اسناد اشتراکی یا مکان‌های ناامن ذخیره نشوند.

• تفکیک شبکه‌ی مدیریت میزبان

شبکه‌ی مدیریتی هایپروایزر را از شبکه‌ی عملیاتی (Production) و شبکه‌ی کاربران عمومی جدا کنید. یک VLAN یا بخش شبکه‌ای اختصاصی ایجاد کنید که از نظر منطقی و/یا فیزیکی تفکیک شده باشد.

• استقرار Jump Box یا Bastion Server

برای اطمینان از اینکه تمام دسترسی‌های مدیریتی کنترل‌شده و قابل ممیزی هستند، یک Jump Box یا Bastion Server پیاده‌سازی کنید که مدیران IT ابتدا به آن متصل شوند و سپس از آن‌جا به هایپروایزر دسترسی یابند.

• اعمال اصل حداقل سطح دسترسی

دسترسی به لایه‌ی کنترلی (vCenter و میزبان‌های منفرد) را به‌طور سخت‌گیرانه محدود کنید. تنها حداقل نقش‌ها و مجوزهای لازم برای وظایف مدیریتی مشخص، مانند مدیریت منابع یا وصله‌گذاری، را به مدیران انسانی و حساب‌های سرویس اختصاص دهید.

• محدودسازی دسترسی مدیریتی به دستگاه‌های مدیریتی اختصاصی

دسترسی به رابط مدیریتی ESXi را به دستگاه‌های مدیریتی مشخص با آدرس‌های IP ثابت محدود کنید. این کار یک لایه‌ی دفاعی اضافی ایجاد می‌کند و تضمین می‌کند که تنها نقاط پایانی شناخته‌شده و مجاز امکان اتصال به هایپروایزر را داشته باشند؛ در نتیجه سطح حمله بیش از پیش کاهش می‌یابد.

• قفل‌کردن محیط اجرای هایپروایزر و اعمال کنترل‌های کد و اجرا

یکی از ریسک‌های منحصربه‌فرد باج‌افزار در سطح هایپروایزر این است که به‌محض دسترسی مهاجم به میزبان، او می‌تواند کد را مستقیماً در سطح هایپروایزر اجرا کند و بدین ترتیب، کنترل‌ها و مکانیزم‌های امنیتی سیستم‌عامل مهمان (Guest OS) را به‌طور کامل دور بزند. بنابراین لازم است میزبان به‌گونه‌ای سخت‌سازی شود که تنها کدهای مورد انتظار، امضاشده و ماژول‌های قابل اعتماد روی آن امکان اجرا داشته باشند.

توصیه های امنیتی

با توجه به ماهیت پرریسک لایه‌ی هایپروایزر، تمرکز اقدامات دفاعی باید بر چند محور کلیدی و پراثر قرار گیرد:

• سخت‌سازی محیط اجرای هایپروایزر (Runtime Hardening)

فعال‌سازی اجرای صرفاً کدهای امضاشده (مانند VMkernel.Boot.execInstalledOnly) و غیرفعال‌سازی سرویس‌های غیرضروری نظیر SSH و ESXi Shell، از اجرای کدهای مخرب در سطح هایپروایزر جلوگیری کرده و سطح حمله را به‌طور محسوسی کاهش می‌دهد. فعال‌سازی Lockdown Mode در این لایه حیاتی است.

• وصله‌گذاری مستمر و حذف سطوح در معرض حمله

بهره‌برداری مهاجمان از آسیب‌پذیری‌های شناخته‌شده ESXi یکی از رایج‌ترین مسیرهای نفوذ است. نگه‌داری موجودی دقیق از میزبان‌ها، اولویت‌دهی به وصله‌های امنیتی و غیرفعال‌سازی سرویس‌های پرریسک مانند SLP (پورت ۴۲۷)، نقش تعیین‌کننده‌ای در جلوگیری از نفوذ اولیه دارد. همچنین رابط‌های مدیریتی ESXi نباید مستقیماً در معرض اینترنت قرار گیرند.

• پشتیبان‌گیری تغییرناپذیر و آمادگی بازیابی سریع

از آنجا که باج‌افزارهای ESXi مستقیماً فایل‌های VMDK و دیتاستورها را هدف می‌گیرند، رعایت قانون پشتیبان‌گیری 3-2-1 و استفاده از Backupها یا Snapshotهای Immutable ضروری است. زیرساخت پشتیبان باید کاملاً از Active Directory جدا باشد و بازیابی کامل ماشین‌های مجازی به‌صورت دوره‌ای آزمایش شود.

• پایش مداوم و فرض نفوذ (Assume Breach)

به دلیل دید محدود ابزارهای EDR در سطح هایپروایزرها، ارسال لاگ‌های ESXi به SIEM و پایش رویدادهای حساس مانند ورود root، تغییر سطح پذیرش VIB، فعال‌سازی SSH یا غیرفعال‌شدن Lockdown Mode اهمیت بالایی دارد. هرگونه تغییر در پیکربندی باید به‌عنوان یک هشدار امنیتی تلقی شود.

• تفکیک مسئولیت‌ها و مدیریت تغییرات

موفقیت پایش و واکنش به رخداد، مستلزم همکاری شفاف بین تیم IT، تیم امنیت داخلی و SOC خارجی است. تمام تغییرات برنامه‌ریزی‌شده در هایپروایزر باید از طریق فرایند رسمی Change Control ثبت و اطلاع‌رسانی شوند تا رفتارهای مخرب از فعالیت‌های مجاز تفکیک‌پذیر باشند.

محافظت از هایپروایزرهای Bare-Metal مانند ESXi در برابر باج‌افزار نیازمند رویکردی لایه‌ای و پیش‌دستانه است که سخت‌سازی، وصله‌گذاری، پایش مداوم و آمادگی برای بازیابی سریع را به‌صورت یکپارچه پوشش دهد. با توجه به اثرگذاری گسترده‌ی نفوذ در این لایه، اعمال کنترل‌های امنیتی سخت‌گیرانه و تمرین منظم سناریوهای پاسخ به رخداد، نقش کلیدی در کاهش ریسک و جلوگیری از خسارت‌های انبوه دارد.