恶意家族名称:
ESXiArgs
威胁类型:
勒索事件
简单描述:
近期一款新的针对 VMware ESXi 服务器勒索软件正在全球范围内大规模传播,攻击者采用 2021 年的远程代码执行漏洞 CVE-2021-21974 获得交互式访问,借以部署新的 ESXiArgs 勒索软件。
恶意攻击响应
VMware安全响应中心2月6号发布针对‘ESXiArgs’勒索攻击的相关信息。
https://blogs.vmware.com/security/2023/02/83330.html?utm_source=rss&utm_medium=rss&utm_campaign=83330
来自 VMware 安全响应中心的问候!
我们希望解决最近报告的“ESXiArgs”勒索软件攻击,并就有关客户应采取的保护自己的行动提供一些指导。
VMware 尚未找到证据表明未知漏洞(0-day)被用于传播最近这些攻击中使用的勒索软件。 大多数报告指出,一般支持终止 (EOGS) 和/或严重过时的产品正成为已知漏洞的目标,这些漏洞之前已在 VMware 安全公告 (VMSA) 中得到解决和披露。
当在我们的 VMSA 主页上发布或进行重大修改时,您可以注册电子邮件和 RSS 警报(文章结尾有链接)。 考虑到这一点,我们建议客户升级到 vSphere 组件的最新可用受支持版本,以解决当前已知的漏洞。 此外,VMware 建议在 ESXi 中禁用 OpenSLP 服务。 2021 年,ESXi 7.0 U2c 和 ESXi 8.0 GA 开始发货,默认禁用该服务。 VMware 还在我们的勒索软件资源中心提供了常规勒索软件资源。 注意:截至美国东部标准时间 2 月 6 日星期一下午 1:30,以上信息准确无误。 请关注此博客,因为如果有任何新信息出现,它将在未来更新。
漏洞利用
该漏洞与 OpenSLP 相关,通过 427/UDP 进行攻击,未经身份验证的威胁参与者可以利用该漏洞在低复杂性攻击中获得远程代码执行。截止本文发布,基于censys统计数据全球已受影响服务器有 2453 台,国内已受影响服务器大概数十台左右。
CVE-2021-21974 漏洞影响以下版本:
ESXi70U1c-之前的ESXi 7.x版本 ESXi670--SG之前的ESXi 6.7.x版本 ESXi650--SG之前的ESXi 6.5.x版本
受 ESXiArgs 影响 ESXi 服务器涉及版本集中在 6.7.0、6.5.0、6.0.0、5.5.0。此外 VMware 关于 CVE-2021-21974 的官方公告并没有具体说明 6.0.0 和 5.5.0 ,因为类似过低版本软件生命周期已经终止,请尽快升级到常规支持版本。
国内存在该漏洞影响的服务器数量如下所示(基于censys统计数据):
版本 |
数量统计 |
ESXi 6.5 |
715 |
ESXi 6.7 |
3184 |
ESXi 7.0 |
1271 |
ESXi 6.0.0 |
665 |
ESXi 5.0.0 |
342 |
该漏洞VMwware在2021年已及时进行响应,相关链接如下所示:
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
恶意攻击分析
通过分析发现与该勒索行为相关的文件共有5个,位于受害服务器中的/tmp/文件夹下,相关恶意文件及描述如下所示:
encrypt– 加密器(ELF可执行文件)
encrypted.sh – 执行加密器之前的功能文件
public.pem – 用于加密文件的RSA加密算法中的公钥
motd——文本格式的勒索信文件
index.html – html格式的勒索信文件
该样本使用参数进行启动,在程序启动初始阶段便会对参数进行强校验,样本通过正确参数启动后便会进行后续操作,勒索信文件名为 “How to Restore Your Files.html”, 指示受害者通过 TOX_ID 与攻击者取得联系,以恢复加密文件或防止数据被泄露。
encrypt.sh
shell脚本整体逻辑如下所示:
修改配置文件
修改虚拟机的磁盘文件 vmdk 及虚拟内存文件 vswp 的文件名,增加受害者在文件加密后找到和恢复初始数据的困难性。
加密文件
首先枚举 ESXi 主机上所有的存储卷,因此未连接到 VM 的虚拟磁盘可能也会受到影响。
加密存储卷中包含如下扩展名的文件:
*.vmdk *.vmx *.vmxf *.vmsd *.vmsn *.vswp *.vmss *.nvram *.vmem
持久化
将 encrypt_file() 勒索信文件复制到 /usr/lib/vmware 目录下
防御规避
该勒索软件为了避免被发现及数据恢复,尝试了如下操作:包括删除系统中所有的 log 文件、清除计划任务、删除备份文件、删除 http 端口配置文件中所有存在的 ip、删除store/packages/vmtools.py后门文件及最初始上传的 tmp/ 目录下的恶意文件。
启动ssh服务
加密器encrypt
启动命令,启动参数包括公共 RSA 密钥文件、要加密的文件路径、避免加密的数据块、加密块的大小和文件大小。
勒索软件启动会执行多个步骤来加密系统文件
encrypt_file()函数进一步调用encrypt_simple()函数来执行加密过程。下图显示了 encrypt_file()函数的代码片段
encrypt_simple函数如下所示:
sosemanuk_encrypt 加密过程如下所示:
检查存储在 result 中的值是否小于 0x4F,当小于 0x4F时,它将明文的前 80LL – (a1 + 128)字节与 Sosemanuk 密码的内部状态进行异或。然后该函数进入一个循环,每次以 80LL 字节的块加密剩余的明文,在每个块加密后更新 Sosemanuk密码的内部状态。然后将加密块与明文进行异或运算以生成密文。
文件小于 128MB 时,完全加密
文件大于 128MB (1M=1024K)时未完全加密
生成流密钥
ATT&CK
IOCs
ESXi勒索软件支付地址列表
https://gist.github.com/cablej/cce8ffca
MD5
d0d36f169faae482af5010 encrypt.sh 87b010bc90cd7dd776fb42ea5b3f85d3 encrypt
解决方案
处置建议
1. 在 ESXi 中禁用 OpenSLP 服务,或者升级至 ESXi 7.0 U2c 或 ESXi 8.0 GA,ESXi 7.0 U2c或 ESXi 8.0 GA 版本默认情况下禁用该服务。
2.最大限度做好微分段隔离,防止横向的东西向攻击,利用微分段平台实现快速灵活的阻隔手段,快速针对特定端口攻击实现一键式全网阻隔。
2. 检查文件 “vmtools.py” 是否存在于“/store/packages/”位置。如果找到,建议立即删除该文件。
3. 在微分段的基础上增加东西向IPS/IDS,无代理杀毒软件,定期进行系统全盘扫描,实时网络攻击特征捕获,并阻止检测到的威胁,按时升级打补丁。
4. 重要的数据业务做好备份和容灾建设,也可以利用VMware on Alibaba 的云灾备方案对关键数据实现多云容灾,防止数据中心级别的灾难造成数据丢失无法找回。
https://www.aliyun.com/product/ecs/vmwaresrv?spm=
5176..J_.7.d22553c9a2nYHZ&scm=.S_product%40%40云产品
%40%._.ID_product%40%40云产品
%40%-RL_vmware-LOC_main-OR_ser-V_2-P0_0
具体漏洞描述和修复方案,参考VMware 官方漏洞描述(VMSA-2021-0002)。
https://www.vmware.com/security/advisories/VMSA-2021-0002.html
Workaround 中提到关闭OpenSLP 的相关解释如下。
对Esxi主机的影响如下:
使用该权宜措施,使用 SLP 通过端口 #427 查找 CIM 服务器的 CIM 客户端将无法找到该服务。(CIM 是一种开放式标准,用于为 ESXi 主机硬件资源的无代理标准监控定义一个框架。该框架由一个 CIM 对象管理器(通常称为“CIM 代理程序”)和一组 CIM 提供程序构成。)
参考KB:
https://kb.vmware.com/s/article/76372?lang=zh_cn
请注意,在VMware的安全公告中描述同样的远程代码漏洞攻击可以影响vCenter:
VMware vCenter Server更新解决vSphere Client中的远程代码执行漏洞(CVE-2021-21972)
已知攻击载体
具有443端口网络访问权限的恶意行为者可能利用此问题在vCenter Server所在的底层操作系统上以不受限制的权限执行命令。
影响版本:
Workaround 对vCenter 的影响如下:
影响仅限于使用 vRealize Operations 的环境。需要注意的是,无论 vRealize Operations 是否引入到环境中,vCenter Server 中都存在易受攻击的端点。
- 新 vRealize Operations 客户将没有通过插件自动安装和配置 vRealize Operations Appliance 的置备/选项。
- 在 vRealize Operations with vCenter 中配置 vCenter 适配器的客户将无法在 vSphere Client (HTML 5) 中显示衡量指标和警示详细信息(包括 vCenter Server 和 vSAN 概览小组件)。
参考KB:
https://kb.vmware.com/s/article/82374?lang=zh_cn
其他安全知识点:
VMware 漏洞订阅网站
https://www.vmware.com/security/advisories.html
如下图位置输入邮箱即可实时订阅安全更新信息
VMware Ransomware Resource Center-大家也可以阅读和了解VMware对勒索攻击的防御与最新技术方案
https://core.vmware.com/ransomware
2024最新激活全家桶教程,稳定运行到2099年,请移步至置顶文章:https://sigusoft.com/99576.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。 文章由激活谷谷主-小谷整理,转载请注明出处:https://sigusoft.com/16149.html