Technomous勒索瞄准VMware vSphere,虚拟化平台如何保障数据安全?

  • A+
所属分类:云安全
背景概述
近日,一位IT运维人员发布博客透露,3月14日凌晨遭到了针对VMware虚拟化环境勒索病毒攻击,大量虚拟机无法启用,用户生产业务受到影响,VMware vSphere集群仅有vCenter处于正常状态,部分Windows系统也遭到加密。

Technomous勒索瞄准VMware vSphere,虚拟化平台如何保障数据安全?


此消息迅速在业内引起了广泛关注,近年来,尽管勒索攻击十分泛滥,但由于Windows操作系统在企业和大型组织中具有压倒性的使用优势,绝大多数勒索程序都是Windows下的可执行文件,以至于早期的Linux勒索程序很少引起大家的关注。
 
但是随着虚拟化技术的应用,攻击者显然已经将目标瞄准了VMware vSphere等普及率较高的虚拟化平台,近期,国外媒体也同步报道了攻击者利用VMware ESXi漏洞(CVE-2019-5544和CVE-2020-3992)投放勒索病毒相关案例。


此次勒索攻击事件中,受害用户的业务系统就是托管在ESXi服务器上,ESXi是VMware开发的Type-1虚拟机管理程序(又名“裸机”虚拟机管理程序),通常由vCenter管理,尽管ESXi不是Linux操作系统,但可以在ESXi命令外壳中运行一些Linux编译的ELF二进制文件。
 
技术分析
深信服终端安全团队捕获到了此次事件中用于加密的ELF文件,进行了技术分析:
  • 该勒索病毒使用了常见的RSA+AES加密方法,首先生成AES秘钥对文件进行加密,然后使用RSA公钥对AES的秘钥进行加密,只有得到攻击者的私钥才能进行解密:


Technomous勒索瞄准VMware vSphere,虚拟化平台如何保障数据安全?


  • 该勒索病毒加密时,会跳过某些后缀,具体类型如下,其中包含了加密后会替换的后缀“.Technomous-zbtrqyd”:


Technomous勒索瞄准VMware vSphere,虚拟化平台如何保障数据安全?



Technomous勒索瞄准VMware vSphere,虚拟化平台如何保障数据安全?


数据恢复

绝大多数勒索病毒在加密以后,都只能通过支付赎金的方式进行解密,因此,数据备份显得尤为重要。此次的攻击事件中,用户也得益于每天进行快照备份和数据备份,进行了大部分的恢复,详细过程描述如下:

 
1、 VMware vSphere虚拟化主机全部重建后,通过存储LUN快照创建新的LUN挂载给ESXI,进行手动虚拟机注册。然后启动虚拟机逐步验证数据丢失情况、恢复业务;
2、 恢复备份数据,部分备份存储于本地磁盘的VMware 虚拟机,由于无法通过快照的方式还原,通过虚拟机整机还原;
3、 对于没有快照、没有备份的虚拟机,只能选择放弃。后续重构该虚拟机。
 
虚拟化环境防范建议
1、及时进行VMware虚拟化环境及应用组件升级;
2、及时修复VMware ESXi补丁程序,在不必要时可以禁用SLP;
3、定期维护虚拟机快照和数据备份,重要数据尽量进行异地多介质备份。

如何检测是否可能受

CVE-2019-5544

影响

(1)首次登陆处找到所使用版本号,如图:

Technomous勒索瞄准VMware vSphere,虚拟化平台如何保障数据安全?

(2)使用自检脚本检测是否开启SLP服务,如图表示可能存在漏洞:

Technomous勒索瞄准VMware vSphere,虚拟化平台如何保障数据安全?

脚本下载地址:

https://github.com/HynekPetrak/CVE-2019-5544_CVE-2020-3992


临时修复建议

该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:

(1)ESXi使用以下命令在ESXi主机上停止SLP服务:

/etc/init.d/slpd stop

运行以下命令以禁用SLP服务且重启系统仍然生效:

esxcli network firewall ruleset set -r CIMSLP -e 0chkconfig slpd off

运行此命令检查禁用SLP服务成功:

chkconfig --list | grep slpd

若输出slpd off则禁用成功。


深信服产品处理方案

1、【深信服EDR】深信服EDR用户将病毒库更新至20210317164718版本,接入文件云查,使用云查服务以及时检测防御新威胁;

2、【深信服下一代防火墙】可轻松防御CVE-2019-5544漏洞,建议部署深信服下一代防火墙的用户升级最新版本的规则库,可轻松防御该病毒利用的漏洞;
3、【深信服安全感知平台】可检测利用CVE-2019-5544漏洞的攻击,实时告警,建议更新到最新版本,接入深信服云查,及时检测新威胁。


深信服千里目安全实验室

Technomous勒索瞄准VMware vSphere,虚拟化平台如何保障数据安全?

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们

本文始发于微信公众号(深信服千里目安全实验室):Technomous勒索瞄准VMware vSphere,虚拟化平台如何保障数据安全?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: