技术博客

    技术博客  >  VMware ESXi 服务器的大规模勒索攻击事件「防御指南」,含风险自查与勒索防护!
    VMware ESXi 服务器的大规模勒索攻击事件「防御指南」,含风险自查与勒索防护!
    背景图 2023-02-08 20:00:00

    2年前的老漏洞重现“江湖”

    还带来了全球大规模的勒索攻击?!

    人心惶惶如何防?看这篇就够了!

    近日,深信服千里目安全技术中心在运营工作中发现了一种新的勒索软件ESXiArgs,该勒索软件于今年2月开始大规模出现。截至2月8日凌晨,基于censys统计数据,全球已受影响服务器有 2453 台,国内已受影响服务器数十台左右。多国网络安全组织机构已对此发出警告。

    VMware ESXi 是 VMware 开放的服务器资源整合平台,可实现用较少的硬件集中管理多台服务器,并提升服务器性能和安全性,大规模应用于国内全行业的虚拟化平台建设,可直接访问并控制底层资源

    据分析,攻击者利用2年前发现的(已发布补丁,但客户侧未经修补) RCE 漏洞 CVE-2021-21974 将恶意文件传输至 ESXi 导致 OpenSLP 服务中的堆溢出,从而获得交互式访问,借以部署新的 ESXiArgs 勒索病毒。

    【详细分析文章请点击:《ESXiArgs 勒索软件攻击之 VMware ESXi 服务器下的“天幕杀机”》

    国内存在该漏洞影响的服务器数量如下所示(基于shodan统计数据):

    国内存在该漏洞影响的服务器数量

    攻击者加密后,会导致关键数据被损坏,虚拟机 (VM)处于关闭、无法连接状态,可能造成用户生产环境停线的严重后果;除了面临部分业务被中断,被攻击者还面临着2比特币左右的勒索赎金,给正常工作带来了极为严重的影响。

    我中招了吗?风险排查、紧急加固及处置建议

    勒索风险自查

    步骤一:检查/store/packages/目录下是否存在vmtools.py后门文件。如果存在,建议立即删除该文件。

    步骤二:检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,应及时删除。

    勒索处置建议

    步骤一:立即隔离受感染的服务器,进行断网;

    步骤二:使用数据恢复工具恢复数据或重装ESXi

    美国CISA发布了 ESXiArgs 勒索软件恢复脚本,相关链接如下:

    https://github.com/cisagov/ESXiArgs-Recover

    步骤三:重复“勒索风险自查”步骤;

    步骤四:恢复修改后的部分文件

    (1)查看/usr/lib/vmware目录下的index.html文件是否为勒索信,如果是,立即删除该文件。

    (2)查看/etc/目录下是否存在motd文件,如果存在,立即删除

    漏洞自查

    根据外部情报调查显示,该勒索攻击利用ESXI的未修补漏洞CVE-2021-21974进行勒索病毒投放,并且VMware厂商表示并没有证据表明该勒索攻击使用了0day。因而可以针对该漏洞进行预防。

    (1)查看ESXi的版本

    方式1:登陆EXSi后台,点击帮助-关于,即可获取版本号。

    查看ESXi的版本

    方式2:访问EXSi终端,输入“vmware -vl”命令即可获取版本号。

    查看ESXi的版本

    (2)查看OpenSLP服务是否开启

    访问EXSi终端,输入“chkconfig --list | grep slpd”命令即可查看OpenSLP服务是否开启。输出“slpd on”为开启,输出“slpd off”则代表未开启。

    查看OpenSLP服务是否开启

    若ESXi版本在漏洞影响范围内,且OpenSLP服务开启,则可能受此漏洞影响。

    漏洞加固

    加固方案1:升级ESXi至如下版本

    ESXi7.0 版本:升级到 ESXi70U1c-17325551 版本及以上

    ESXi6.7 版本:升级到 ESXi670-202102401-SG 版本及以上

    ESXi6.5 版本:升级到 ESXi650-202102101-SG 版本及以上

    加固方案2:在ESXi中禁用OpenSLP服务

    禁用OpenSLP属于临时解决方案,该临时解决方案存在一定风险,建议用户可根据业务系统特性审慎选择采用临时解决方案:

    • 1、使用以下命令在 ESXi 主机上停止SLP 服务:

    /etc/init.d/slpd stop  

    • 2、运行以下命令以禁用 SLP 服务且重启系统后生效:

    esxcli network firewall ruleset set -r CIMSLP -e 0 

    chkconfig slpd off  

    • 3、运行此命令检查禁用 SLP 服务成功:

    chkconfig --list | grep slpd  

    若输出slpd off 则禁用成功  

     

    停止SLP服务后,运行攻击脚本发现427端口已经关闭,漏洞无法进行利用。

     停止SLP服务

    突发事件怎么防?云网端常态化安全防护思路

    本次事件是由于老漏洞被利用而引发的大规模勒索攻击事件。面对这一类突发事件,深信服提供了一套长效治理的整体解决方案。

    云网端安全托管方案

    勒索入侵的方式多种多样,最终会攻陷服务器或PC终端,因此要想实现更加可靠的拦截,必须在云网端做到全方位保障。

    深信服云网端安全托管方案“见招拆招”,在终端和网络针对勒索病毒复杂的入侵步骤打造了全生命周期防护,构建勒索风险有效预防、持续监测、高效处置的勒索病毒防御体系。

    在云端,依托于安全托管服务MSS,云端安全专家7*24小时监测分析,定期将最新漏洞态势、全球勒索攻击趋势、行业运营经验等赋能本地终端和网络安全设备,并总结攻击态势和防护结果,形成可视化报表,提升安全效果和价值呈现。同时提供勒索理赔服务,为勒索防护兜底。

    云网端安全托管方案针对勒索攻击,常态化构建整体防护体系,降低处置运维成本,致力于让用户的安全体验领先一步,安全效果领跑一路。

    下一代防火墙AF

    本次攻击是日益猖獗的勒索攻击对nday漏洞的利用,根据深信服勒索病毒态势分析报告,有22.9%的勒索事件入侵是通过高危应用漏洞攻击,漏洞的威力不容小觑。因此对漏洞攻击的精准有效拦截是打造网络安全体系的“强大底座”。

    深信服下一代防火墙具备丰富的威胁智能检测引擎,包括IPS泛化检测引擎、Web防护WISE语义引擎等,且拥有全面的Web攻击防御功能(支持13种主流Web攻击类型),从而使产品整体安全漏洞攻击拦截率达到99.7%,漏洞检测效果获得全球厂商最高评分,并成为国内唯一以最高攻击拦截率通过CyberRatings AAA认证的防火墙产品。

    此外,深信服下一代防火墙还搭载了全新人机识别技术Antibot,开启后对访问请求进行主动验证,通过漏洞扫描防护和防口令爆破,从源头上防御勒索入侵问题。

    <a href='https://www.sangfor.com.cn/product-and-solution/sangfor-security/ngfw'>下一代防火墙AF</a>

    同时,深信服AF可实现安全事件分钟级告警、一键处置,通过云图平台,采用微信即时通讯方式,在发送安全事件后第一时间通知安全运营人员,一键阻断攻击者后续入侵,提升安全响应效率。

    安全事件分钟级告警、一键处置

    终端安全管理系统EDR

    作为勒索攻击的最后一道防线,终端安全产品的重要性不言而喻。 

    在端点侧,深信服终端安全管理系统EDR通过一套平台架构面向PC、服务器,提供基于勒索病毒攻击链为终端构建涵盖“预防-防护-检测响应”的4-6-5多层次立体防御。包括勒索诱捕、微隔离、轻补丁漏洞免疫、RDP爆破防护,二次登陆防护等等。

    终端安全管理系统EDR

    基于国际知名攻击行为知识库 ATT&CK矩阵,深信服EDR对终端系统层、应用层的行为数据进行采集,覆盖 163 项技术面,贴合实际攻击场景,综合研判更加精准,并通过国际知名测评机构赛可达实验室的能力认证。

    通过IOA+IOC 技术融合,EDR能够将端侧采集的行为数据结合业务环境关联分析,重现威胁入侵事件场景,从场景层面抽丝剥茧,提升研判精准度。

    云端安全专家团队结合数据自动化聚合,对端侧上报的海量数据进行分析,研判安全事件,精准定位威胁根因,快速响应。

    联系我们