南京途天信息科技有限公司欢迎您!我们是天融信银牌,深信服金牌代理商
销售:025-86883033 18061463033
专业系统集成商
途天科技

025-86883033

涵盖产品销售及弱电施工;我们不仅仅是IT设备的搬运商!更是解决方案的提供商!一站式服务,为您提供全面可靠的解决方案
VMware ESXi 服务器的大规模勒索攻击事件「防御指南」,含风险自查与勒索防护!
来源: | 作者:njttian | 发布时间: 650天前 | 1131 次浏览 | 分享到:

2年前的老漏洞重现“江湖”

还带来了全球大规模的勒索攻击?!

人心惶惶如何防?看这篇就够了!


近日,深信服千里目安全技术中心在运营工作中发现了一种新的勒索软件ESXiArgs,该勒索软件于今年2月开始大规模出现。截至2月8日凌晨,基于censys统计数据,全球已受影响服务器有 2453 台,国内已受影响服务器数十台左右。多国网络安全组织机构已对此发出警告。


VMware ESXi 是 VMware 开放的服务器资源整合平台,可实现用较少的硬件集中管理多台服务器,并提升服务器性能和安全性,大规模应用于国内全行业的虚拟化平台建设,可直接访问并控制底层资源


据分析,攻击者利用2年前发现的(已发布补丁,但客户侧未经修补) RCE 漏洞 CVE-2021-21974 将恶意文件传输至 ESXi 导致 OpenSLP 服务中的堆溢出,从而获得交互式访问,借以部署新的 ESXiArgs 勒索病毒。

【详细分析文章请点击:《ESXiArgs 勒索软件攻击之 VMware ESXi 服务器下的“天幕杀机”》


国内存在该漏洞影响的服务器数量如下所示(基于shodan统计数据):

版本

数量统计

ESXi 6.5

715

ESXi 6.7

3184

ESXi 7.0

1271

ESXi 6.0.0

665

ESXi 5.0.0

342

攻击者加密后,会导致关键数据被损坏,虚拟机 (VM)处于关闭、无法连接状态,可能造成用户生产环境停线的严重后果;除了面临部分业务被中断,被攻击者还面临着2比特币左右的勒索赎金,给正常工作带来了极为严重的影响。


我中招了吗?

风险排查、紧急加固及处置建议

图片

勒索风险自查

步骤一:检查/store/packages/目录下是否存在vmtools.py后门文件。如果存在,建议立即删除该文件。


步骤二:检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,应及时删除。

图片

勒索处置建议

步骤一:立即隔离受感染的服务器,进行断网;


步骤二:使用数据恢复工具恢复数据或重装ESXi

美国CISA发布了 ESXiArgs 勒索软件恢复脚本,相关链接如下:

https://github.com/cisagov/ESXiArgs-Recover


步骤三:重复“勒索风险自查”步骤;


步骤四:恢复修改后的部分文件

(1)查看/usr/lib/vmware目录下的index.html文件是否为勒索信,如果是,立即删除该文件。

(2)查看/etc/目录下是否存在motd文件,如果存在,立即删除。

图片

漏洞自查

根据外部情报调查显示,该勒索攻击利用ESXI的未修补漏洞CVE-2021-21974进行勒索病毒投放,并且VMware厂商表示并没有证据表明该勒索攻击使用了0day。因而可以针对该漏洞进行预防。


(1)查看ESXi的版本

方式1:登陆EXSi后台,点击帮助-关于,即可获取版本号。

图片


方式2:访问EXSi终端,输入“vmware -vl”命令即可获取版本号。

图片


(2)查看OpenSLP服务是否开启

访问EXSi终端,输入“chkconfig --list | grep slpd”命令即可查看OpenSLP服务是否开启。输出“slpd on”为开启,输出“slpd off”则代表未开启。

图片

若ESXi版本在漏洞影响范围内,且OpenSLP服务开启,则可能受此漏洞影响。

图片

漏洞加固

加固方案1:升级ESXi至如下版本


ESXi7.0 版本:升级到 ESXi70U1c-17325551 版本及以上

ESXi6.7 版本:升级到 ESXi670-202102401-SG 版本及以上

ESXi6.5 版本:升级到 ESXi650-202102101-SG 版本及以上


加固方案2:在ESXi中禁用OpenSLP服务


禁用OpenSLP属于临时解决方案,该临时解决方案存在一定风险,建议用户可根据业务系统特性审慎选择采用临时解决方案:


1使用以下命令在 ESXi 主机上停止SLP 服务:

/etc/init.d/slpd stop  

2运行以下命令以禁用 SLP 服务且重启系统生效:

esxcli network firewall ruleset set -r CIMSLP -e 0 

chkconfig slpd off  

3运行此命令检查禁用 SLP 服务成功:

chkconfig --list | grep slpd  

若输出slpd off 则禁用成功  


停止SLP服务后,运行攻击脚本发现427端口已经关闭,漏洞无法进行利用。

图片


突发事件怎么防?

云网端常态化安全防护思路

本次事件是由于老漏洞被利用而引发的大规模勒索攻击事件。面对这一类突发事件,深信服提供了一套长效治理的整体解决方案。

云网端安全托管方案

勒索入侵的方式多种多样,最终会攻陷服务器或PC终端,因此要想实现更加可靠的拦截,必须在云网端做到全方位保障。


深信服云网端安全托管方案“见招拆招”,在终端和网络针对勒索病毒复杂的入侵步骤打造了全生命周期防护,构建勒索风险有效预防、持续监测、高效处置的勒索病毒防御体系。


图片


在云端,依托于安全托管服务MSS,云端安全专家7*24小时监测分析,定期将最新漏洞态势、全球勒索攻击趋势、行业运营经验等赋能本地终端和网络安全设备,并总结攻击态势和防护结果,形成可视化报表,提升安全效果和价值呈现。同时提供勒索理赔服务,为勒索防护兜底。


云网端安全托管方案针对勒索攻击,常态化构建整体防护体系,降低处置运维成本致力于让用户的安全体验领先一步,安全效果领跑一路。

下一代防火墙AF

本次攻击是日益猖獗的勒索攻击对nday漏洞的利用,根据深信服勒索病毒态势分析报告,有22.9%的勒索事件入侵是通过高危应用漏洞攻击,漏洞的力不容小觑。因此对漏洞攻击的精准有效拦截是打造网络安全体系的“强大底座”。


深信服下一代防火墙具备丰富的威胁智能检测引擎,包括IPS泛化检测引擎、Web防护WISE语义引擎等,且拥有全面的Web攻击防御功能(支持13种主流Web攻击类型),从而使产品整体安全漏洞攻击拦截率达到99.7%,漏洞检测效果获得全球厂商最高评分,并成为国内唯一以最高攻击拦截率通过CyberRatings AAA认证的防火墙产品。


此外,深信服下一代防火墙还搭载了全新人机识别技术Antibot,开启后对访问请求进行主动验证,通过漏洞扫描防护和防口令爆破,从源头上防御勒索入侵问题。


图片


同时,深信服AF可实现安全事件分钟级告警、一键处置,通过云图平台,采用微信即时通讯方式,在发送安全事件后第一时间通知安全运营人员,一键阻断攻击者后续入侵,提升安全响应效率。


图片

终端安全管理系统EDR

作为勒索攻击的最后一道防线,终端安全产品的重要性不言而喻。


在端点侧,深信服终端安全管理系统EDR通过一套平台架构面向PC、服务器,提供基于勒索病毒攻击链为终端构建涵盖“预防-防护-检测响应”的4-6-5多层次立体防御。包括勒索诱捕、微隔离、轻补丁漏洞免疫、RDP爆破防护,二次登陆防护等等。


图片


基于国际知名攻击行为知识库 ATT&CK矩阵,深信服EDR对终端系统层、应用层的行为数据进行采集,覆盖 163 项技术面,贴合实际攻击场景,综合研判更加精准,并通过国际知名测评机构赛可达实验室的能力认证。


通过IOA+IOC 技术融合,EDR能够将端侧采集的行为数据结合业务环境关联分析,重现威胁入侵事件场景,从场景层面抽丝剥茧,提升研判精准度。


云端安全专家团队结合数据自动化聚合,对端侧上报的海量数据进行分析,研判安全事件,精准定位威胁根因,快速响应。