展開(kāi)
湖北國聯(lián)計算機科技有限公司
  • 首頁(yè)HOME
  • 公司簡(jiǎn)介INTRODUCTION
  • 安全防御DEFENSE
  • 軟件開(kāi)發(fā)SOFTWARE
  • 物聯(lián)網(wǎng)IOT
  • 運行維護SRE
  • 成功案例CASE
  • 聯(lián)系我們CONTACT
  • Defense Event |業(yè)界動(dòng)態(tài)

    針對VMware vSphere的勒索病毒來(lái)了
    來(lái)源:湖北國菱網(wǎng)絡(luò )安全 時(shí)間:2021-03-19

    注意了,針對 VMware vSphere 的勒索病毒正在嘗試著(zhù)攻擊,它們似乎正在尋找機會(huì )和積累經(jīng)驗。

    2021 年 3 月 15 日,一篇關(guān)于 VMware vSphere 被勒索病毒攻擊的博客文章(小岑博客)引起了行業(yè)人士的廣泛關(guān)注。文章詳細介紹了虛擬機被勒索病毒攻擊后,出現了大量虛擬機關(guān)閉,虛擬機處于關(guān)機,并處于無(wú)法連接狀態(tài),用戶(hù)生產(chǎn)環(huán)境停線(xiàn)等嚴重問(wèn)題。

    據博主透露,VMware vSphere 集群僅有 vCenter 處于正常狀態(tài);同時(shí)企業(yè)中 Windows 桌面電腦、筆記本大量出現被加密情況。

    這意味著(zhù)虛擬機系統被攻擊最糟糕的情況還是出現了。

    一般情況下,勒索病毒很難做到跨操作系統的感染,例如臭名昭著(zhù)的 WannaCry,針對 Windows 系統的漏洞可以加密,但是遇到虛擬機操作系統時(shí)就失效了。

    但一切正在改變,公有云及私有云等數據中心采用虛擬化的部署方式,不僅實(shí)現了計算資源利用率的最大化,還有利于節能環(huán)保。在計算機虛擬化的進(jìn)程中,VMware vSphere 虛擬化平臺市場(chǎng)占有率最大,自然成為了勒索病毒攻擊的重點(diǎn)。

    △不同虛擬機平臺正在被企業(yè)大量使用

    來(lái)者不善,這次的勒索病毒造成 VMware vSphere 部分的虛擬機磁盤(pán)文件.vmdk、虛擬機描述文件.vmx 被重命名,手動(dòng)打開(kāi).vmx 文件,發(fā)現.vmx 文件被加密。另外 VMware vm-support 日志收集包中,也有了勒索軟件生成的說(shuō)明文件。

    △ESXI 日志診斷包出現說(shuō)明文件

    文章提到,勒索團隊在攻擊感染了 VMware vSphere 虛擬機文件的同時(shí),也加密了Windows 系統文件:

    (1)Windows 客戶(hù)端出現文件被加密情況,加密程度不一,某些用戶(hù)文件全盤(pán)加密,某些用戶(hù)部分文件被加密。

    (2)Windows 系統日志被清理,無(wú)法溯源(客戶(hù)端均安裝有 McAfee 企業(yè)防病毒軟件,但未起到防護作用)。

    (3)使用火絨、Autoruns、深信服 EDR 產(chǎn)品,暫未發(fā)現異常。

    同時(shí)感染了 VMware+Windows,這是 Double Kill。幸運的是在計算機虛擬化領(lǐng)域,玩家都是專(zhuān)業(yè)級人員,也就是精通 IT 技術(shù)的人員才會(huì )涉足像 VMware vSphere 這樣的平臺產(chǎn)品。換句話(huà)說(shuō),在這場(chǎng)戰斗中,進(jìn)攻方與防御方旗鼓相當,被攻擊方對數據、業(yè)務(wù)恢復的能力要比普通的 IT 小白強得多。

    針對本次病毒攻擊事件,文章提到了數據恢復的具體措施。

    一是針對 VMware vSphere 被感染的虛擬機文件:

    (1)得益于客戶(hù)現有存儲每天執行過(guò)快照,VMware vSphere虛擬化主機全部重建后,通過(guò)存儲LUN快照創(chuàng )建新的LUN掛載給ESXI,進(jìn)行手動(dòng)虛擬機注冊。然后啟動(dòng)虛擬機逐步驗證數據丟失情況、恢復業(yè)務(wù)。

    (2)用戶(hù)有數據備份環(huán)境,部分存儲于本地磁盤(pán)的 VMware 虛擬機,由于無(wú)法通過(guò)快照的方式還原,通過(guò)虛擬機整機還原。

    (3)對于沒(méi)有快照、沒(méi)有備份的虛擬機,只能選擇放棄,后續重構該虛擬機。

    (4)對現有虛擬化環(huán)境進(jìn)行了升級。

    企業(yè)級操作系統,快照、備份就是企業(yè)生產(chǎn)的生命線(xiàn)。但是每天執行快照,并恢復的顆粒度是多大,這個(gè)值得警惕,顆粒度大,必然造成數據丟失,損失在所難免。

    二是針對 Windows 被感染的文件:

    (1)對于 Windows 客戶(hù)端進(jìn)行斷網(wǎng)處理,并快速搶救式備份數據。

    (2)開(kāi)啟防病毒軟件的防勒索功能。

    數據災備真的太重要了。

    從這次事件看,勒索病毒已經(jīng)開(kāi)始瞄上了 VMware vSphere,或許它們正在偷偷前行,等待合適時(shí)機進(jìn)行大規模進(jìn)攻。這并非是危言聳聽(tīng),最近針對 VMware vSphere 系統漏洞的攻擊發(fā)生在今年的 2 月,勒索軟件團隊通過(guò) “RansomExx” 病毒,利用 VMWare ESXi 產(chǎn)品中的漏洞(CVE-2019-5544、CVE-2020-3992),對虛擬硬盤(pán)的文件進(jìn)行加密。

    △RansomExx 被殺毒軟件發(fā)現

    “RansomExx” 病毒早在去年 10 月就被發(fā)現非法入侵企業(yè)的網(wǎng)絡(luò )設備,并攻擊本地的 ESXi 實(shí)例,進(jìn)而加密其虛擬硬盤(pán)中的文件。由于該實(shí)例用于存儲來(lái)自多個(gè)虛擬機的數據,因此對企業(yè)造成了巨大的破壞。

    那么,如何對虛擬機進(jìn)行備份,以及針對關(guān)鍵虛擬機進(jìn)行容災,比如熱備或溫備。

    首先從備份策略來(lái)講,針對虛擬機的備份越來(lái)越充滿(mǎn)挑戰,主要來(lái)自?xún)煞矫妫阂皇翘摂M機數量極其龐大,少則十幾臺,多則數千臺,特別是在政務(wù)云、私有云這種虛擬化平臺上,虛擬機數量太多,傳統的針對每臺虛擬機安裝 Agent 進(jìn)行備份操作,顯得過(guò)于繁瑣和落后;二是用戶(hù)對于備份實(shí)時(shí)性要求越來(lái)越高,RPO 值越低越能減少企業(yè)的損失。

    針對這兩大問(wèn)題,可以通過(guò)無(wú)代理的虛擬化備份管理軟件,通過(guò) VMware vSphere 開(kāi)放的接口進(jìn)行統一備份,并根據用戶(hù)生產(chǎn)環(huán)境和數據量,合理設置周期性備份策略,以降低備份的 RPO 值。

    其次從虛擬機容災策略來(lái)講,虛擬機故障通常分為兩類(lèi):一是平臺型故障,比如物理機故障導致虛擬機不可用,或者機房發(fā)生安全事件導致系統不可用;二是單機系統故障,系統運行慢或宕機。

    針對虛擬機不可用的問(wèn)題,如果是平臺型故障,可以通過(guò)負載均衡進(jìn)行整體切換實(shí)現故障接管;如果是單機型故障,可以通過(guò)容災高可用方案進(jìn)行接管。通常虛擬機平臺擁有單機容災機制,但在策略上,ISV 推出的高可用軟件可能更有優(yōu)勢,它可以自動(dòng)根據“服務(wù)異常停止、網(wǎng)絡(luò )異常、硬件故障、系統宕機”進(jìn)行系統的自動(dòng)接管,或提示運維人員進(jìn)行判斷是否接管。

    另外,數據副本管理(CDM)技術(shù)的成熟,也可以對大量的虛擬機系統進(jìn)行溫備。CDM 技術(shù)可以通過(guò)不同的數據采集及備份策略,實(shí)現生產(chǎn)系統在進(jìn)行周期性備份時(shí),可以將備份周期的時(shí)間設置為分鐘級(如 30 分鐘備份一次)。當虛擬機備份文件需要恢復時(shí),可以通過(guò)存儲掛載(NFS)的形式,直接將備份文件掛載在虛擬化平臺上進(jìn)行瞬時(shí)恢復,掛載過(guò)程秒即完成,比普通恢復所需要的時(shí)間更小。

    △備份文件 NFS 恢復與普通恢復

    隨著(zhù)虛擬機的普及,針對虛擬機的傷害變得越來(lái)越頻繁,樣式也越來(lái)越多樣。例如,2018 年 9 月,從思科離職 5 個(gè)月的 Sudhish Kasaba Ramesh,將魔爪伸向了他曾使用的個(gè)人 Google Cloud Project 賬戶(hù),并使用 “rm -rf /* 命令行將 WebEx Teams 視頻會(huì )議和協(xié)作應用軟件的 456個(gè)虛擬機刪除了。

    而這次勒索病毒針對 VMware vSphere 的攻擊,實(shí)際上是黑客團隊推開(kāi)了針對虛擬機攻擊的大門(mén)。這次的攻擊,不能僅僅看成是一次簡(jiǎn)單的病毒攻擊事件。


    荊州地區政府網(wǎng)站建設 解決方案 專(zhuān)業(yè)團隊 騰訊第三方平臺 地址:湖北省荊州市沙市區荊沙大道楚天都市佳園一期C區29棟112       地址:湖北省松滋市新江口街道才知文化廣場(chǎng)1幢1146-1151室     郵編:434200 聯(lián)系電話(huà):0716-6666211     網(wǎng)站編輯部郵箱:business@gl-ns.com 鄂公網(wǎng)安備 42100202000212號 備案號:鄂ICP備2021015094號-1     企業(yè)名稱(chēng):湖北國菱計算機科技有限公司