VMWare最新勒索事件“态势感知”

在《再聊“绝对”与“相对”》一文开头里就提到了我对一些物理学上的名称概念就属于“望文生义”基于文字本身的语言去理解的，比如“相对论”我就对“相对”理解是这样，我也曾多次用到《三体》里的一些概念“降维打击”啥的也是这样，实际上我必须承认在今年三体电视剧之前我是没看过《三体》书籍的。而今天要聊的也是“态势感知”这个词。

“态势感知”是网络安全领域（最起码在大天朝）算一个非常有代表性的、非常典型的众多“概念”，当然了这种“概念”非常多，主要来源于以Gartner等，按我的理解这都是大天朝网络安全发展阶段决定的。换句话说，我们需要这种“概念”去冲击网络安全行业。

值得一提是在2016年4月19日，总书记在网络安全与信息化工作座谈会上的讲话：

网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。

这里就提到的“感知网络安全态势”被认为是“态势感知”，于是一时之下全都是“态势感知”相关产品，随着各家不断加入，于是就出现了“内卷”，把这个概念局限在某个场景下，并最终都使用了“地图炮”的“炫酷”的展示形式，于是就开始出现一些“吐槽”，被认为“地图炮”里“打来打去”只能“忽悠”领导，而对一线工作没有太大的“实际意义” ...

其实我是不赞同这种说法的，我们公司应该算是比较早（可能是国内最早）使用“地图炮”的，在我个人看上面吐槽的「“忽悠”领导」反而就是“地图炮”最重要的意义，因为看见安全是非常非常难的（参考《漫画与安全》），至于吐槽“实际意义”这个其实跟“地图炮”无关 ... 

但现实中确实存在很多“形式主义”的“地图炮”，很多时候这种内卷都是市场决定的，不是“真安全”需求驱动，这种就导致了上面提到的各种“概念”横飞是一样的，因为那些人可能在意的根本就不是真正解决安全问题，而是一种怎么把概念转化的商业的市场行为！当然我这里不是说两者就是对立矛盾的，我们需要去用真正的安全需求去引导市场时候，才能看到网络安全这个行业的未来！

网络安全行业的发展需要有情怀的企业家及从业者！

我理解的“态势感知”

既然是“望文生义”那么我们来个“说文解字”了：“态”、“势”、“感”、“知”，“态”可以理解为事物的某个时间维度下的一种状态，这个状态在网络空间里可以体现的就是数据，“势”可以理解为一种趋势，比如我们把“态”理解为时间点的数据，那么“势”就是一种时空下的数据变化趋势，“感”可以理解为我们要去分析理解这种时间及空间维度下数据及趋势，“知”就是知识、智慧，通过对数据处理分析最终得到一种知识 ...

看到这里可能有一些经常看我文章的人会有种“似曾相识”的感觉，在《谈谈网络空间“行为测绘”》一文中开头提到的“数据-->知识-->智慧-->决策”链是一致的，当然最后关联到就是我在2019年KCon上提的两个核心：“一是，获取更多的数据。二是，赋予数据灵魂。”，当然在我提到的“动态测绘”里强调了数据的“时间”及“空间”维度等等

这些归根结底就在于对“数据”的理解上，在网络空间测绘这个可以理解为全网的态势感知，而在网络安全行业里还有不少是针对某个甲方本身网络安全的“态势感知”，这个才更具体“韭菜”的市场需求。

我们在全网络空间这个维度做了不少的“态势感知”，比如《ZoomEye针对俄乌冲突的战场态势持续感知》，再比如针对突发的恶意事件感知 《ZoomEye测绘视角下的宝塔“0day”事件》，当然这类事情历史上很多，我们404实验室之前发布过不少“预警”，这里就不一一提了。

VMWare最新勒索事件

这个事件在外网的关注度是非常高的，在国内直到今天才看到陆续一些翻译的科技新闻媒体文发布，国内关注度更多的还在讨论“强哥吃鱼”的事情。可能国内最早关注的就是我们在2月4日发布的一条预警：

【知道创宇404实验室】根据ZoomEye测绘引擎最新态势感知，一个针对VMware设备的勒索攻击正在扩散，知道创宇404实验室提醒您注意安全！https://www.zoomeye.org/searchResult?q=%22How%20to%20Restore%20Your%20Files%22

这几天的数据还一种在变化增涨：

随即我们也做了一些分析，很显然这个是针对VMWare ESXi设备，从被攻击目标涉及的ESXi版本信息关联到一个2年前的漏洞CVE-2021-21974，这个漏洞在我们知道创宇404实验室2021年5月25日应急处理过

注：这个2020年是当时写错了，应该是2021

没想到时至今日被用来作为勒索攻击的武器。这个例子告诉我们不用轻视一个1day/nday的威力！

当然我发现还有一些比较有意思的情况，从ZoomEye的测绘情况来看，搜索"How to Restore Your Files"这个关键词居然还找到了2022年及2021年的数据，也就是这个可能不算是“最新”的，我们具体看看

2021年的数据就1条：

是个ftp服务器，里面有个文件名HOW TO RESTORE YOUR FILES.TXT 从加密的文件后缀来看这个属于Slfyvggi ransomware 

再看看2022年的数据，有22条，简单分析下其中有3条是针对cPanel的，文件名后缀是filenew,关联到的勒索组织：WHM RANSOMWARE

有14条是针对VMWare ESXi的，最早的记录定格在2022-10-18日，被篡改的页面内容如下：

HTTP/1.1 301 Moved PermanentlyDate: Tue, 18 Oct 2022 11:38:15 GMTLocation: https://sb91.binco.com.ua/Connection: closeContent-Type: text/htmlContent-Length: 56

<html lang="en"><head>    <title>How to Restore Your Files</title></head><body>

<h1>How to Restore Your Files</h1>

<p><strong><u>Security Alert!!!</u></strong></p><p>We hacked your company successfully</p><p>All files have been stolen and encrypted by us</p><p>If you want to restore files or avoid file leaks, please send <b>1.095152</b> bitcoins to the wallet <b>bc1qh0dmcpd56kpx53ca65mmdnapdz3qw8pqpevh8g</b></p><p>If money is received, encryption key will be available on our web site <b>http://yytf6btdhrikgywd6aluwbafjgm5oj3pan2lg3czvhs34obs3brid7ad.onion/014c9dd5-6c38-4b96-a400-bb694cf793a7</b></p>

<p><strong><u>Attention!!!</u></strong></p><p>Send money within 3 days, otherwise we will expose some data and raise the price</p><p>Don't try to decrypt important files, it may damage your files</p><p>Don't trust who can decrypt, they are liars, no one can decrypt without key file</p><p>If you don't send bitcoins, we will notify your customers of the data breach by email and text message</p><p>And sell your data to your opponents or criminals, data may be made release</p>

<p><strong><u>Note</u></strong></p><p>SSH is turned on</p><p>Firewall is disabled</p>

<br><p>[email protected]</p></body></html>

我们搜索下[email protected] 2023年还有2条数据，最新的数据是在2023-01-19 ns6908718.ip-54-36-48.eu

继续看下2023年的数据,这次针对VMWare ESXi的勒索数据记录在2023-02-03 51.210.112.27

HTTP/1.1 301 Moved Permanently
Date: Fri, 3 Feb 2023 10:43:45 GMTLocation: https://51.210.112.27/Connection: closeContent-Type: text/htmlContent-Length: 56

<HTML><BODY><H1>301 Moved Permanently</H1></BODY></HTML>

Http response from 302 moved url https://51.210.112.27/:HTTP/1.1  200 OKContent-Security-Policy: block-all-mixed-contentContent-Type: text/htmlStrict-Transport-Security: max-age=31536000X-Xss-Protection: 1Connection: Keep-AliveX-Content-Type-Options: nosniffX-Frame-Options: DENYContent-Length: 1169Date: Fri, 3 Feb 2023 10:43:47 GMT

<html lang="en"><head>    <title>How to Restore Your Files</title></head><body>

<h1>How to Restore Your Files</h1>

<p><strong><u>Security Alert!!!</u></strong></p><p>We hacked your company successfully</p><p>All files have been stolen and encrypted by us</p><p>If you want to restore files or avoid file leaks, please send <b>2.032317</b> bitcoins to the wallet <b>1DbuTjRNVNrGsYiD5kzqcfTqaww4wJHRCW</b></p><p>If money is received, encryption key will be available on <b>TOX_ID: D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A</b></p>

<p><strong><u>Attention!!!</u></strong></p><p>Send money within 3 days, otherwise we will expose some data and raise the price</p><p>Don't try to decrypt important files, it may damage your files</p><p>Don't trust who can decrypt, they are liars, no one can decrypt without key file</p><p>If you don't send bitcoins, we will notify your customers of the data breach by email and text message</p><p>And sell your data to your opponents or criminals, data may be made release</p>

<p><strong><u>Note</u></strong></p><p>SSH is turned on</p><p>Firewall is disabled</p>

<br></body></html>

从这个勒索说明里可以看出，这个跟上面2022年的基本差不多，但是这次好像开始“涨价”了，最早那个是1.095152 btc 涨到了 2.032317 btc，我随即抽查了几个新的，这个价格好像是每个目标都不一样，最新的都在2.0xxxxx,没有超过3.0的 不知道这个xxxx是随机的还是有啥算法估计目标的“价值”不一样变化的，当然收到赎金后的key的方式也变化了，同时也删除了 [email protected] 这个email地址，另外还有一个特点是wallet地址不是固定一个或者几个，应该算是一批，虽然这个可以随意注册，但是对于那么大量的地址操作管理也是需要点精力去搞的。

由此可以见，这次针对VMWare勒索事件，目前最早可以追溯到2022-10-18，这个阶段属于试运营阶段，从2023-02-03开始进入正式运营阶段，赎金价格由最开始的1.0+基数btc涨到了2.0+基数的btc，启用了大量的钱包地址估计是想提升追查溯源的难度。

本次事件影响的国家

从ZoomEye的统计数据来看，主要影响的法国

所以为什么你看到的新闻媒体文上引用的是来自法国cert的报告 https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/ 我开始觉得是不是因为法国使用VMWare多导致的，如果是这样可能跟公有云覆盖是有关系的，毕竟现在流行都是Docker及公有云服务，但是通过我才看VMWare的设备使用量来看：

排名最多的是美国及中国然后才是法国，所以从这点看很可能还是法国用户安全意识没有及时升级导致的！

我们再看看中国，数据量整体是非常少的，中国大陆基本上没有（只有1条上海数据），主要是在香港及台湾省。在结合上面看到的中国VMWare设备的整体数量仅次于美国，那为什么没有中招的呢？难道我们大天朝的知名安全意识已经无敌了吗？！或者是存在某个上帝之手阻挡了这一切？！当然这个也想起了一个传奇：中国的绝命毒师刘招华！

最后使用ChatGPT的回复结尾：

>用最文艺的方法表达“数据会说话”，可以把数据比喻为一个艺术品

>>数据，就像是一件珍贵的艺术品，它们蕴含了丰富的信息，如同那些古老的壁画，只需我们用心去揣摩，它们便会将自身的故事呈现在我们面前。

原文始发于微信公众号（黑哥虾撩）：VMWare最新勒索事件“态势感知”