背景概述
近日,一位IT运维人员发布博客透露,3月14日凌晨遭到了针对VMware虚拟化环境勒索病毒攻击,大量虚拟机无法启用,用户生产业务受到影响,VMware vSphere集群仅有vCenter处于正常状态,部分Windows系统也遭到加密。
此消息迅速在业内引起了广泛关注,近年来,尽管勒索攻击十分泛滥,但由于Windows操作系统在企业和大型组织中具有压倒性的使用优势,绝大多数勒索程序都是Windows下的可执行文件,以至于早期的Linux勒索程序很少引起大家的关注。
但是随着虚拟化技术的应用,攻击者显然已经将目标瞄准了VMware vSphere等普及率较高的虚拟化平台,近期,国外媒体也同步报道了攻击者利用VMware ESXi漏洞(CVE-2019-5544和CVE-2020-3992)投放勒索病毒相关案例。
此次勒索攻击事件中,受害用户的业务系统就是托管在ESXi服务器上,ESXi是VMware开发的Type-1虚拟机管理程序(又名“裸机”虚拟机管理程序),通常由vCenter管理,尽管ESXi不是Linux操作系统,但可以在ESXi命令外壳中运行一些Linux编译的ELF二进制文件。
技术分析
深信服终端安全团队捕获到了此次事件中用于加密的ELF文件,进行了技术分析:
- 该勒索病毒使用了常见的RSA+AES加密方法,首先生成AES秘钥对文件进行加密,然后使用RSA公钥对AES的秘钥进行加密,只有得到攻击者的私钥才能进行解密:
- 该勒索病毒加密时,会跳过某些后缀,具体类型如下:
- 加密后修改文件后缀,并释放用于勒索的信息文件,给出联系缴纳赎金的邮箱地址:
数据恢复
绝大多数勒索病毒在加密以后,都只能通过支付赎金的方式进行解密,因此,数据备份显得尤为重要。此次的攻击事件中,用户也得益于每天进行快照备份和数据备份,进行了大部分的恢复,详细过程描述如下:
1、VMware vSphere虚拟化主机全部重建后,通过恢复存储LUN快照创建新的LUN挂载给ESXI,进行手动虚拟机注册,然后启动虚拟机逐步验证数据丢失情况、恢复业务;
2、部分没有存储快照保护、没有备份的虚拟机,只能选择放弃,后续重构该虚拟机。
注意,在面临该针对hypervisor攻击时,使用虚拟机VMDK快照、或者在虚拟机内部的备份不能保护数据,需要在存储层面快照或者异地备份才能保护数据。
虚拟化环境防范建议
1、及时进行VMware虚拟化环境及应用组件升级;
2、及时修复VMware ESXi补丁程序,在不必要时可以禁用SLP;
3、定期维护虚拟机快照和数据备份(在存储层面快照),重要数据尽量进行异地多介质备份。
如何检测是否可能受CVE-2019-5544影响
(1)首次登陆处找到所使用版本号,如图:(2)使用自检脚本检测是否开启SLP服务,如图表示可能存在漏洞:
脚本下载地址:
https://github.com/HynekPetrak/CVE-2019-5544_CVE-2020-3992
临时修复建议
该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:
(1)ESXi使用以下命令在ESXi主机上停止SLP服务:
/etc/init.d/slpd stop
运行以下命令以禁用SLP服务且重启系统仍然生效:
esxcli network firewall ruleset set -r CIMSLP -e 0chkconfig slpd off
运行此命令检查禁用SLP服务成功:
chkconfig –list | grep slpd
若输出slpd off则禁用成功。
深信服产品处理方案
1、【深信服EDR】深信服EDR用户将病毒库更新至20210317164718版本,接入文件云查,使用云查服务以及时检测防御新威胁;
2、【深信服下一代防火墙】可轻松防御CVE-2019-5544漏洞,建议部署深信服下一代防火墙的用户升级最新版本的规则库,可轻松防御该病毒利用的漏洞;
3、【深信服安全感知平台】可检测利用CVE-2019-5544漏洞的攻击,实时告警,建议更新到最新版本,接入深信服云查,及时检测新威胁。
来源:freebuf.com 2021-03-18 15:38:20 by: 深信服千里目安全实验室
请登录后发表评论
注册