勒索团伙瞄准VMware vSphere,虚拟化平台如何保障数据安全?

2021-03-22 5,680

背景概述

近日,一位IT运维人员发布博客透露,3月14日凌晨遭到了针对VMware虚拟化环境勒索病毒攻击,大量虚拟机无法启用,用户生产业务受到影响,VMware vSphere集群仅有vCenter处于正常状态,部分Windows系统也遭到加密。

图片1.png


此消息迅速在业内引起了广泛关注,近年来,尽管勒索攻击十分泛滥,但由于Windows操作系统在企业和大型组织中具有压倒性的使用优势,绝大多数勒索程序都是Windows下的可执行文件,以至于早期的Linux勒索程序很少引起大家的关注。


但是随着虚拟化技术的应用,攻击者显然已经将目标瞄准了VMware vSphere等普及率较高的虚拟化平台,近期,国外媒体也同步报道了攻击者利用VMware ESXi漏洞(CVE-2019-5544和CVE-2020-3992)投放勒索病毒相关案例。


此次勒索攻击事件中,受害用户的业务系统就是托管在ESXi服务器上,ESXi是VMware开发的Type-1虚拟机管理程序(又名“裸机”虚拟机管理程序),通常由vCenter管理,尽管ESXi不是Linux操作系统,但可以在ESXi命令外壳中运行一些Linux编译的ELF二进制文件。

技术分析

深信服终端安全团队捕获到了此次事件中用于加密的ELF文件,进行了技术分析:

该勒索病毒使用了常见的RSA+AES加密方法,首先生成AES秘钥对文件进行加密,然后使用RSA公钥对AES的秘钥进行加密,只有得到攻击者的私钥才能进行解密:

图片2.png


该勒索病毒加密时,会跳过某些后缀,具体类型如下:

图片3.png


加密后修改文件后缀,并释放用于勒索的信息文件,给出联系缴纳赎金的邮箱地址:

图片4.png

数据恢复

绝大多数勒索病毒在加密以后,都只能通过支付赎金的方式进行解密,因此,数据备份显得尤为重要。此次的攻击事件中,用户也得益于每天进行快照备份和数据备份,进行了大部分的恢复,详细过程描述如下:

 

1、VMware vSphere虚拟化主机全部重建后,通过恢复存储LUN快照创建新的LUN挂载给ESXI,进行手动虚拟机注册,然后启动虚拟机逐步验证数据丢失情况、恢复业务;

2、部分没有存储快照保护、没有备份的虚拟机,只能选择放弃,后续重构该虚拟机。


注意,在面临该针对hypervisor攻击时,使用虚拟机VMDK快照、或者在虚拟机内部的备份不能保护数据,需要在存储层面快照或者异地备份才能保护数据。

虚拟化环境防范建议

1、及时进行VMware虚拟化环境及应用组件升级;

2、及时修复VMware ESXi补丁程序,在不必要时可以禁用SLP;

3、定期维护虚拟机快照和数据备份(在存储层面快照),重要数据尽量进行异地多介质备份。

如何检测是否可能受CVE-2019-5544影响

(1)首次登陆处找到所使用版本号,

图片5.png


(2)使用自检脚本检测是否开启SLP服务,如图表示可能存在漏洞:

图片6.png


脚本下载地址:

https://github.com/HynekPetrak/CVE-2019-5544_CVE-2020-3992

临时修复建议

该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:

(1)ESXi使用以下命令在ESXi主机上停止SLP服务:

/etc/init.d/slpd stop

运行以下命令以禁用SLP服务且重启系统仍然生效:

esxcli network firewall ruleset set -r CIMSLP -e 0chkconfig slpd off

运行此命令检查禁用SLP服务成功:

chkconfig --list | grep slpd

若输出slpd off则禁用成功。

本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/155174.html

Tags:
评论  (0)
快来写下你的想法吧!

Further_eye

文章数:222 积分: 1825

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号