展開
湖北國聯(lián)計算機科技有限公司
  • 首頁HOME
  • 公司簡介INTRODUCTION
  • 安全防御DEFENSE
  • 軟件開發(fā)SOFTWARE
  • 物聯(lián)網(wǎng)IOT
  • 運行維護SRE
  • 成功案例CASE
  • 聯(lián)系我們CONTACT
  • Defense Event |業(yè)界動態(tài)

    針對VMware vSphere的勒索病毒來了
    來源:湖北國菱網(wǎng)絡安全 時間:2021-03-19

    注意了,針對 VMware vSphere 的勒索病毒正在嘗試著攻擊,它們似乎正在尋找機會和積累經(jīng)驗。

    2021 年 3 月 15 日,一篇關(guān)于 VMware vSphere 被勒索病毒攻擊的博客文章(小岑博客)引起了行業(yè)人士的廣泛關(guān)注。文章詳細介紹了虛擬機被勒索病毒攻擊后,出現(xiàn)了大量虛擬機關(guān)閉,虛擬機處于關(guān)機,并處于無法連接狀態(tài),用戶生產(chǎn)環(huán)境停線等嚴重問題。

    據(jù)博主透露,VMware vSphere 集群僅有 vCenter 處于正常狀態(tài);同時企業(yè)中 Windows 桌面電腦、筆記本大量出現(xiàn)被加密情況。

    這意味著虛擬機系統(tǒng)被攻擊最糟糕的情況還是出現(xiàn)了。

    一般情況下,勒索病毒很難做到跨操作系統(tǒng)的感染,例如臭名昭著的 WannaCry,針對 Windows 系統(tǒng)的漏洞可以加密,但是遇到虛擬機操作系統(tǒng)時就失效了。

    但一切正在改變,公有云及私有云等數(shù)據(jù)中心采用虛擬化的部署方式,不僅實現(xiàn)了計算資源利用率的最大化,還有利于節(jié)能環(huán)保。在計算機虛擬化的進程中,VMware vSphere 虛擬化平臺市場占有率最大,自然成為了勒索病毒攻擊的重點。

    △不同虛擬機平臺正在被企業(yè)大量使用

    來者不善,這次的勒索病毒造成 VMware vSphere 部分的虛擬機磁盤文件.vmdk、虛擬機描述文件.vmx 被重命名,手動打開.vmx 文件,發(fā)現(xiàn).vmx 文件被加密。另外 VMware vm-support 日志收集包中,也有了勒索軟件生成的說明文件。

    △ESXI 日志診斷包出現(xiàn)說明文件

    文章提到,勒索團隊在攻擊感染了 VMware vSphere 虛擬機文件的同時,也加密了Windows 系統(tǒng)文件:

    (1)Windows 客戶端出現(xiàn)文件被加密情況,加密程度不一,某些用戶文件全盤加密,某些用戶部分文件被加密。

    (2)Windows 系統(tǒng)日志被清理,無法溯源(客戶端均安裝有 McAfee 企業(yè)防病毒軟件,但未起到防護作用)。

    (3)使用火絨、Autoruns、深信服 EDR 產(chǎn)品,暫未發(fā)現(xiàn)異常。

    同時感染了 VMware+Windows,這是 Double Kill。幸運的是在計算機虛擬化領域,玩家都是專業(yè)級人員,也就是精通 IT 技術(shù)的人員才會涉足像 VMware vSphere 這樣的平臺產(chǎn)品。換句話說,在這場戰(zhàn)斗中,進攻方與防御方旗鼓相當,被攻擊方對數(shù)據(jù)、業(yè)務恢復的能力要比普通的 IT 小白強得多。

    針對本次病毒攻擊事件,文章提到了數(shù)據(jù)恢復的具體措施。

    一是針對 VMware vSphere 被感染的虛擬機文件:

    (1)得益于客戶現(xiàn)有存儲每天執(zhí)行過快照,VMware vSphere虛擬化主機全部重建后,通過存儲LUN快照創(chuàng)建新的LUN掛載給ESXI,進行手動虛擬機注冊。然后啟動虛擬機逐步驗證數(shù)據(jù)丟失情況、恢復業(yè)務。

    (2)用戶有數(shù)據(jù)備份環(huán)境,部分存儲于本地磁盤的 VMware 虛擬機,由于無法通過快照的方式還原,通過虛擬機整機還原。

    (3)對于沒有快照、沒有備份的虛擬機,只能選擇放棄,后續(xù)重構(gòu)該虛擬機。

    (4)對現(xiàn)有虛擬化環(huán)境進行了升級。

    企業(yè)級操作系統(tǒng),快照、備份就是企業(yè)生產(chǎn)的生命線。但是每天執(zhí)行快照,并恢復的顆粒度是多大,這個值得警惕,顆粒度大,必然造成數(shù)據(jù)丟失,損失在所難免。

    二是針對 Windows 被感染的文件:

    (1)對于 Windows 客戶端進行斷網(wǎng)處理,并快速搶救式備份數(shù)據(jù)。

    (2)開啟防病毒軟件的防勒索功能。

    數(shù)據(jù)災備真的太重要了。

    從這次事件看,勒索病毒已經(jīng)開始瞄上了 VMware vSphere,或許它們正在偷偷前行,等待合適時機進行大規(guī)模進攻。這并非是危言聳聽,最近針對 VMware vSphere 系統(tǒng)漏洞的攻擊發(fā)生在今年的 2 月,勒索軟件團隊通過 “RansomExx” 病毒,利用 VMWare ESXi 產(chǎn)品中的漏洞(CVE-2019-5544、CVE-2020-3992),對虛擬硬盤的文件進行加密。

    △RansomExx 被殺毒軟件發(fā)現(xiàn)

    “RansomExx” 病毒早在去年 10 月就被發(fā)現(xiàn)非法入侵企業(yè)的網(wǎng)絡設備,并攻擊本地的 ESXi 實例,進而加密其虛擬硬盤中的文件。由于該實例用于存儲來自多個虛擬機的數(shù)據(jù),因此對企業(yè)造成了巨大的破壞。

    那么,如何對虛擬機進行備份,以及針對關(guān)鍵虛擬機進行容災,比如熱備或溫備。

    首先從備份策略來講,針對虛擬機的備份越來越充滿挑戰(zhàn),主要來自兩方面:一是虛擬機數(shù)量極其龐大,少則十幾臺,多則數(shù)千臺,特別是在政務云、私有云這種虛擬化平臺上,虛擬機數(shù)量太多,傳統(tǒng)的針對每臺虛擬機安裝 Agent 進行備份操作,顯得過于繁瑣和落后;二是用戶對于備份實時性要求越來越高,RPO 值越低越能減少企業(yè)的損失。

    針對這兩大問題,可以通過無代理的虛擬化備份管理軟件,通過 VMware vSphere 開放的接口進行統(tǒng)一備份,并根據(jù)用戶生產(chǎn)環(huán)境和數(shù)據(jù)量,合理設置周期性備份策略,以降低備份的 RPO 值。

    其次從虛擬機容災策略來講,虛擬機故障通常分為兩類:一是平臺型故障,比如物理機故障導致虛擬機不可用,或者機房發(fā)生安全事件導致系統(tǒng)不可用;二是單機系統(tǒng)故障,系統(tǒng)運行慢或宕機。

    針對虛擬機不可用的問題,如果是平臺型故障,可以通過負載均衡進行整體切換實現(xiàn)故障接管;如果是單機型故障,可以通過容災高可用方案進行接管。通常虛擬機平臺擁有單機容災機制,但在策略上,ISV 推出的高可用軟件可能更有優(yōu)勢,它可以自動根據(jù)“服務異常停止、網(wǎng)絡異常、硬件故障、系統(tǒng)宕機”進行系統(tǒng)的自動接管,或提示運維人員進行判斷是否接管。

    另外,數(shù)據(jù)副本管理(CDM)技術(shù)的成熟,也可以對大量的虛擬機系統(tǒng)進行溫備。CDM 技術(shù)可以通過不同的數(shù)據(jù)采集及備份策略,實現(xiàn)生產(chǎn)系統(tǒng)在進行周期性備份時,可以將備份周期的時間設置為分鐘級(如 30 分鐘備份一次)。當虛擬機備份文件需要恢復時,可以通過存儲掛載(NFS)的形式,直接將備份文件掛載在虛擬化平臺上進行瞬時恢復,掛載過程秒即完成,比普通恢復所需要的時間更小。

    △備份文件 NFS 恢復與普通恢復

    隨著虛擬機的普及,針對虛擬機的傷害變得越來越頻繁,樣式也越來越多樣。例如,2018 年 9 月,從思科離職 5 個月的 Sudhish Kasaba Ramesh,將魔爪伸向了他曾使用的個人 Google Cloud Project 賬戶,并使用 “rm -rf /* 命令行將 WebEx Teams 視頻會議和協(xié)作應用軟件的 456個虛擬機刪除了。

    而這次勒索病毒針對 VMware vSphere 的攻擊,實際上是黑客團隊推開了針對虛擬機攻擊的大門。這次的攻擊,不能僅僅看成是一次簡單的病毒攻擊事件。


    荊州地區(qū)政府網(wǎng)站建設 解決方案 專業(yè)團隊 騰訊第三方平臺 地址:湖北省荊州市沙市區(qū)荊沙大道楚天都市佳園一期C區(qū)29棟112       地址:湖北省松滋市新江口街道才知文化廣場1幢1146-1151室     郵編:434200 聯(lián)系電話:0716-6666211     網(wǎng)站編輯部郵箱:business@gl-ns.com 鄂公網(wǎng)安備 42100202000212號 備案號:鄂ICP備2021015094號-1     企業(yè)名稱:湖北國菱計算機科技有限公司