勒索团伙瞄准VMware vSphere,虚拟化平台如何保障数据安全? – 作者:深信服千里目安全实验室

背景概述

近日,一位IT运维人员发布博客透露,3月14日凌晨遭到了针对VMware虚拟化环境勒索病毒攻击,大量虚拟机无法启用,用户生产业务受到影响,VMware vSphere集群仅有vCenter处于正常状态,部分Windows系统也遭到加密。

图片[1]-勒索团伙瞄准VMware vSphere,虚拟化平台如何保障数据安全? – 作者:深信服千里目安全实验室-安全小百科

此消息迅速在业内引起了广泛关注,近年来,尽管勒索攻击十分泛滥,但由于Windows操作系统在企业和大型组织中具有压倒性的使用优势,绝大多数勒索程序都是Windows下的可执行文件,以至于早期的Linux勒索程序很少引起大家的关注。

但是随着虚拟化技术的应用,攻击者显然已经将目标瞄准了VMware vSphere等普及率较高的虚拟化平台,近期,国外媒体也同步报道了攻击者利用VMware ESXi漏洞(CVE-2019-5544和CVE-2020-3992)投放勒索病毒相关案例。

此次勒索攻击事件中,受害用户的业务系统就是托管在ESXi服务器上,ESXi是VMware开发的Type-1虚拟机管理程序(又名“裸机”虚拟机管理程序),通常由vCenter管理,尽管ESXi不是Linux操作系统,但可以在ESXi命令外壳中运行一些Linux编译的ELF二进制文件。

技术分析

深信服终端安全团队捕获到了此次事件中用于加密的ELF文件,进行了技术分析:

  • 该勒索病毒使用了常见的RSA+AES加密方法,首先生成AES秘钥对文件进行加密,然后使用RSA公钥对AES的秘钥进行加密,只有得到攻击者的私钥才能进行解密:图片[2]-勒索团伙瞄准VMware vSphere,虚拟化平台如何保障数据安全? – 作者:深信服千里目安全实验室-安全小百科
  • 该勒索病毒加密时,会跳过某些后缀,具体类型如下:
  • 图片[3]-勒索团伙瞄准VMware vSphere,虚拟化平台如何保障数据安全? – 作者:深信服千里目安全实验室-安全小百科加密后修改文件后缀,并释放用于勒索的信息文件,给出联系缴纳赎金的邮箱地址:

图片[4]-勒索团伙瞄准VMware vSphere,虚拟化平台如何保障数据安全? – 作者:深信服千里目安全实验室-安全小百科

数据恢复

绝大多数勒索病毒在加密以后,都只能通过支付赎金的方式进行解密,因此,数据备份显得尤为重要。此次的攻击事件中,用户也得益于每天进行快照备份和数据备份,进行了大部分的恢复,详细过程描述如下:

1、VMware vSphere虚拟化主机全部重建后,通过恢复存储LUN快照创建新的LUN挂载给ESXI,进行手动虚拟机注册,然后启动虚拟机逐步验证数据丢失情况、恢复业务;
2、部分没有存储快照保护、没有备份的虚拟机,只能选择放弃,后续重构该虚拟机。

注意,在面临该针对hypervisor攻击时,使用虚拟机VMDK快照、或者在虚拟机内部的备份不能保护数据,需要在存储层面快照或者异地备份才能保护数据。

虚拟化环境防范建议

1、及时进行VMware虚拟化环境及应用组件升级;
2、及时修复VMware ESXi补丁程序,在不必要时可以禁用SLP;
3、定期维护虚拟机快照和数据备份(在存储层面快照),重要数据尽量进行异地多介质备份。

如何检测是否可能受CVE-2019-5544影响

(1)首次登陆处找到所使用版本号,如图:图片[5]-勒索团伙瞄准VMware vSphere,虚拟化平台如何保障数据安全? – 作者:深信服千里目安全实验室-安全小百科(2)使用自检脚本检测是否开启SLP服务,如图表示可能存在漏洞:图片[6]-勒索团伙瞄准VMware vSphere,虚拟化平台如何保障数据安全? – 作者:深信服千里目安全实验室-安全小百科

脚本下载地址:

https://github.com/HynekPetrak/CVE-2019-5544_CVE-2020-3992

临时修复建议

该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:

(1)ESXi使用以下命令在ESXi主机上停止SLP服务:

/etc/init.d/slpd stop

运行以下命令以禁用SLP服务且重启系统仍然生效:

esxcli network firewall ruleset set -r CIMSLP -e 0chkconfig slpd off

运行此命令检查禁用SLP服务成功:

chkconfig –list | grep slpd

若输出slpd off则禁用成功。

深信服产品处理方案

1、【深信服EDR】深信服EDR用户将病毒库更新至20210317164718版本,接入文件云查,使用云查服务以及时检测防御新威胁;

2、【深信服下一代防火墙】可轻松防御CVE-2019-5544漏洞,建议部署深信服下一代防火墙的用户升级最新版本的规则库,可轻松防御该病毒利用的漏洞;

3、【深信服安全感知平台】可检测利用CVE-2019-5544漏洞的攻击,实时告警,建议更新到最新版本,接入深信服云查,及时检测新威胁。

来源:freebuf.com 2021-03-18 15:38:20 by: 深信服千里目安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论