今年2月,国内出现针对VMWare虚拟机平台的新型勒索攻击。有攻击者通过“RansomExx” 勒索病毒(也称“Defray777”),利用 VMWare ESXi 产品中的漏洞(CVE-2019-5544、CVE-2020-3992),对虚拟硬盘的文件进行加密,造成大量虚拟机关闭,虚拟处于关机,并处于无法连接状态,用户生产环境停线等严重问题。
据国外安全公司CrowdStrike披露,“RansomExx”勒索病毒近期完成了新一轮更新,集成了VMWare最新披露的三个严重漏洞的利用代码,并有两个勒索软件团伙开始使用。
VMware公司近日修复了虚拟化产品中的三项关键漏洞。其中包括一个ESXi裸机管理程序内的堆缓冲区溢出漏洞(CVE-2021-21974),一个可在托管vCenter Server底层基础设施中执行任意命令的漏洞(CVE-2021-21972)。
补丁发布之后,CrowdStrike研究团队发现,Carbon Spider与Sprite Spider两个勒索软件团伙马上更新了攻击工具,对未及时更新的ESXi虚拟机管理程序发动入侵。这两个团伙此前曾经发动过多起大规模勒索软件攻击,主要攻击Windows系统。
不少使用ESXi服务器托管业务系统的公司迅速沦为受害者。更糟糕的是,ESXi本身充当着各类系统的承载平台,控制它的黑客往往能够相对轻松地进一步入侵企业的其它系统。
此前有消息称,自从VMware发布针对三项漏洞的修复程序之后,网络犯罪团伙就开始积极扫描那些未经补丁修复的VMware vCenter服务器,希望借此找到新的潜在入侵目标。
CrowdStrike研究团队表示,“通过在ESXi上部署勒索软件,Sprite Spider与Carbon Spider可能不再满足于原有Windows勒索软件,而是打算给受害者更沉重的一击。”
“只要对一台ESXi服务器进行加密锁定,其效果就相当于在该服务器上的各虚拟机内分别部署勒索软件。因此,这种以ESXi主机为目标的攻击手法极大提升了「狩猎游戏」的推进速度。”
“一旦对ESXi服务器开展的这些勒索软件攻击取得成功,恐怕在未来一段时间内,会有更多恶意团伙将矛头指向此类虚拟化基础设施。”
Sprite Spider通常会先使用Defray777病毒发动小规模“狩猎游戏”攻击,在窃取受害者数据及加密文件之前尝试破坏域控制器。
另一方面,Carbon Spider则一直将POS机设备作为攻击目标,而且习惯于通过网络钓鱼攻击夺取初始访问权限。但从去年4月开始,他们突然改变了攻击模式,转为向众多受害者发动大规模非针对性攻击。他们还在2020年8月使用了自己开发的病毒Darkside。
这两种病毒都会积极收集在vCenter Web界面上用于身份验证的凭证,借此入侵ESXi系统。而一旦获得凭证,攻击方即可控制ESXi设备上的多种集中式服务器管理工具。
在接入vCenter之后,Sprite Spider会建立SSH连接以保持对ESXi设备的持久访问,并在特定情况下更改root密码或主机SSH密钥。而Carbon Spider则使用合法凭证访问vCenter,同时配合Plink工具通过SSH登录以投放Darkside勒索软件。
VMware公司发言人在采访中表示,“根据VMware公开做出的责任承诺,我们已经发布一项安全公告,其中包含针对此次安全问题的修复与缓解方法,希望帮助我们的客户免受攻击。”
“按照最佳实践的指引,VMware强烈建议所有客户针对实际环境应用我们提供的最新产品更新、安全补丁与缓解措施,而且最好能在安全可靠的配置基础之上部署VMware产品。”
参考来源:ITPro、云灾备
https://www.itpro.com/security/ransomware/358735/ransomware-operators-exploiting-vmware-esxi-flaws
声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。