《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 針對VMware虛擬機(jī)平臺(tái)的勒索軟件攻擊開始肆虐

針對VMware虛擬機(jī)平臺(tái)的勒索軟件攻擊開始肆虐

2021-03-19
來源: 互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: VMware虛擬機(jī) 勒索軟件

  今年2月,國內(nèi)出現(xiàn)針對VMWare虛擬機(jī)平臺(tái)的新型勒索攻擊。有攻擊者通過“RansomExx” 勒索病毒(也稱“Defray777”),利用 VMWare ESXi 產(chǎn)品中的漏洞(CVE-2019-5544、CVE-2020-3992),對虛擬硬盤的文件進(jìn)行加密,造成大量虛擬機(jī)關(guān)閉,虛擬處于關(guān)機(jī),并處于無法連接狀態(tài),用戶生產(chǎn)環(huán)境停線等嚴(yán)重問題。

  據(jù)國外安全公司CrowdStrike披露,“RansomExx”勒索病毒近期完成了新一輪更新,集成了VMWare最新披露的三個(gè)嚴(yán)重漏洞的利用代碼,并有兩個(gè)勒索軟件團(tuán)伙開始使用。

  VMware公司近日修復(fù)了虛擬化產(chǎn)品中的三項(xiàng)關(guān)鍵漏洞。其中包括一個(gè)ESXi裸機(jī)管理程序內(nèi)的堆緩沖區(qū)溢出漏洞(CVE-2021-21974),一個(gè)可在托管vCenter Server底層基礎(chǔ)設(shè)施中執(zhí)行任意命令的漏洞(CVE-2021-21972)。

  補(bǔ)丁發(fā)布之后,CrowdStrike研究團(tuán)隊(duì)發(fā)現(xiàn),Carbon Spider與Sprite Spider兩個(gè)勒索軟件團(tuán)伙馬上更新了攻擊工具,對未及時(shí)更新的ESXi虛擬機(jī)管理程序發(fā)動(dòng)入侵。這兩個(gè)團(tuán)伙此前曾經(jīng)發(fā)動(dòng)過多起大規(guī)模勒索軟件攻擊,主要攻擊Windows系統(tǒng)。

  不少使用ESXi服務(wù)器托管業(yè)務(wù)系統(tǒng)的公司迅速淪為受害者。更糟糕的是,ESXi本身充當(dāng)著各類系統(tǒng)的承載平臺(tái),控制它的黑客往往能夠相對輕松地進(jìn)一步入侵企業(yè)的其它系統(tǒng)。

  此前有消息稱,自從VMware發(fā)布針對三項(xiàng)漏洞的修復(fù)程序之后,網(wǎng)絡(luò)犯罪團(tuán)伙就開始積極掃描那些未經(jīng)補(bǔ)丁修復(fù)的VMware vCenter服務(wù)器,希望借此找到新的潛在入侵目標(biāo)。

  CrowdStrike研究團(tuán)隊(duì)表示,“通過在ESXi上部署勒索軟件,Sprite Spider與Carbon Spider可能不再滿足于原有Windows勒索軟件,而是打算給受害者更沉重的一擊。”

  “只要對一臺(tái)ESXi服務(wù)器進(jìn)行加密鎖定,其效果就相當(dāng)于在該服務(wù)器上的各虛擬機(jī)內(nèi)分別部署勒索軟件。因此,這種以ESXi主機(jī)為目標(biāo)的攻擊手法極大提升了「狩獵游戲」的推進(jìn)速度?!?/p>

  “一旦對ESXi服務(wù)器開展的這些勒索軟件攻擊取得成功,恐怕在未來一段時(shí)間內(nèi),會(huì)有更多惡意團(tuán)伙將矛頭指向此類虛擬化基礎(chǔ)設(shè)施?!?/p>

  Sprite Spider通常會(huì)先使用Defray777病毒發(fā)動(dòng)小規(guī)模“狩獵游戲”攻擊,在竊取受害者數(shù)據(jù)及加密文件之前嘗試破壞域控制器。

  另一方面,Carbon Spider則一直將POS機(jī)設(shè)備作為攻擊目標(biāo),而且習(xí)慣于通過網(wǎng)絡(luò)釣魚攻擊奪取初始訪問權(quán)限。但從去年4月開始,他們突然改變了攻擊模式,轉(zhuǎn)為向眾多受害者發(fā)動(dòng)大規(guī)模非針對性攻擊。他們還在2020年8月使用了自己開發(fā)的病毒Darkside。

  這兩種病毒都會(huì)積極收集在vCenter Web界面上用于身份驗(yàn)證的憑證,借此入侵ESXi系統(tǒng)。而一旦獲得憑證,攻擊方即可控制ESXi設(shè)備上的多種集中式服務(wù)器管理工具。

  在接入vCenter之后,Sprite Spider會(huì)建立SSH連接以保持對ESXi設(shè)備的持久訪問,并在特定情況下更改root密碼或主機(jī)SSH密鑰。而Carbon Spider則使用合法憑證訪問vCenter,同時(shí)配合Plink工具通過SSH登錄以投放Darkside勒索軟件。

  VMware公司發(fā)言人在采訪中表示,“根據(jù)VMware公開做出的責(zé)任承諾,我們已經(jīng)發(fā)布一項(xiàng)安全公告,其中包含針對此次安全問題的修復(fù)與緩解方法,希望幫助我們的客戶免受攻擊。”

  “按照最佳實(shí)踐的指引,VMware強(qiáng)烈建議所有客戶針對實(shí)際環(huán)境應(yīng)用我們提供的最新產(chǎn)品更新、安全補(bǔ)丁與緩解措施,而且最好能在安全可靠的配置基礎(chǔ)之上部署VMware產(chǎn)品?!?/p>


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。