GA黄金甲

首页 > 安全钻研 > 钻研汇报 > 攻击与威胁分析

【数据安全新挑战】针对虚构化平台VMware vSphere的勒索攻击专项分析

颁布功夫 2021-09-22

一、概述

《中华人民共和国数据安全法》于今日起（2021年9月1日）正式执行，这是一部数据领域的基础性司法，也是国度安全领域的一部沉要司法。数字化鼎新推动着国度出产模式的刷新，随着经济数字化、敌灾数字化、企业数字化的建设，数据已经成为我国当局和企业最为主题的资产之一。而针对这些主题数据资产的网络攻击却逐年递增，除了越来越频仍的数据泄露安全事务表，日益疯狂的勒索攻击是数据安全面对的最为严沉且危险的威胁，其拥有粉碎性大、匿名性高、复原难等特点。一旦数据资产遭到攻击，除了大量贵重的数据被粉碎表，还会导致工厂歇工停产（如：富士柯氛索攻击导致歇工的事务），甚至会威胁到国度安全（如：燃油管路公司Colonial Pipeline勒索攻击事务）。

目前，勒索组织普遍利用缝隙或者人为渗入的伎俩进入企业/组织内部系统，并在其中植入勒索病毒，并利用勒索病毒对其企业的沉要数据资产进行加密而后执行赎金勒索。仅今年以来，就出现了多起沉大的勒索病毒攻击事务。5月份，美国最大的燃油管路公司Colonial Pipeline遭逢勒索病毒攻击，从而导致美国东部17个州和首都地点的华盛顿特区颁发进入垂危状态；7月份，美国IT治理软件造作商Kaseya受到供给链攻击，黑客利用其软件中存在的缝隙向其客户发送勒索软件，超过1500家企业受到勒索攻击影响。

随着市场和技术的刷新，勒索组织也在不休追求新的攻击指标和攻击伎俩以获取更丰富的赎金。据调查发现，自去年起头，勒索组织将指标扩大到了VMware的企业产品vSphere中并且对相应勒索软件进行针对性升级以适配针对VMware虚构机的勒索。到目前为止，多家使用vSphere的企业已经遭到勒索，由于使用vSphere的企业必要在VMware ESX/ESXi主机上部署多台虚构机以满足日常的服务器或数据库需要，勒索组织只有设法登录到企业的VMware ESX/ESXi主机，就能部署勒索软件对主机上的多台虚构机源文件进行加密执行勒索。与以往传统的勒索攻击分歧，以往的勒索攻击仅仅是针对某台或数台服务器中的部门沉要数据加密，而系统仍旧能够正常运行；而针对vSphere的勒索攻击可直接加密VMware ESX/ESXi主机中的所有的虚构机源文件，这将直接导致数台工作服务器或数据库服务器无法正常运行，使企业/组织的重要业务中断甚至系统瘫痪，这对企业/组织来说将是致命的进攻。

勒索攻击已经成为各大企业/组织的沉要网络安全威胁起源，这种新盛行的针对vSphere的勒索攻击将带来比以往的勒索攻击更大的威胁。本文对“针对VMware vSphere的勒索攻击”进行了全面地分析，通过结合技术布景和有关事务活动分析了勒索组织将攻击指标扩大到VMware vSphere的原因，并且凭据有关攻击样本的分析告发了此类勒索攻击的勒索流程，同时凭据有关资料为宽大企业/组织提供了有关的防御建议。

二、攻击指标：vSphere

VMware vSphere（简称vSphere）是VMware旗下的一整套云推算基础架构虚构化平台，自颁布更新以来在全球已经占有超过250000客户，其客户蕴含当局、军队、医疗、能源、交通、教育等在内的基础设施领域，如图1所示；同时，谷歌云、阿里云、亚马逊云等云服务提供厂商均对客户提供齐全的vSphere虚构化服务，有关市场也同样重大，如图2所示。占有如此重大的市场，vSphere被勒索组织盯上也不及为奇，但是其客户险些涵盖所有领域，一旦产品出现缝隙被攻击者利用导致主机被勒索病毒攻击，不仅将造成财富损失，更有可能直接威胁国度安全。

图1. vSphere的客户领域散布.png

图1. vSphere的客户领域散布

图2. 云服务商提供VMware服务示例.png

图2. 云服务商提供VMware服务示例

VMware ESX/ESXi（简称ESX/ESXi）是vSphere的主题组件之一。在vSphere中，ESX/ESXi是一个虚构机治理法式，用于创建、运行和治理虚构机过程的中央软件层，运行在基础物理服务器和操作系统之间，并且允很多个操作系统共享主机硬件。其实，ESX/ESXi并不依赖其它操作系统，而是直接装置在物理设备上，而后以ISO 的大局提供服务；用户直接在ESX/ESXi中创建、运行和治理自己的虚构机，如图3所示。

在现实场景中，企业为了提高机能和成本效益同时实现简化数据中心和方便大规模治理，往往会在一台ESX/ESXi服务器中部署数台甚至数十台虚构机作为日常的工作服务主机或者数据库。所以，ESX/ESXi主机中会保留着与它在统一物理主机上的其他虚构机的源文件以便对这些虚构机进行治理，它就好比存放着数台服务器的机房，若是机房被人劫持，将对一个企业或组织造成难以估计的损失，这也是ESX/ESXi主机遇成为勒索组织攻击指标的重要原因之一；另一个原因则是，ESX/ESXi上部署的服务器/数据库可能必要向客户提供服务，这也使得攻击者有机遇直接从网络接触到VMware ESX/ESXi主机，为攻击者提供了入侵的可能性。VMware公司当然也极度明显其产品安全的沉要性，vSphere 5.0 之前的版本中均选取ESX系统结构来实现对虚构机的治理，ESX是依赖于Linux的节造台操作系统 (COS) 来实现可守护性和基于代理的合作同伴集成的，而Linux作为开源系统，与Linux有关的缝隙在各大安全社区和地下产业中层出不穷，这将VMware ESX架构置于一个高风险处境；为了提高基础架构的安全性，vSphere 5.0之后的版本中则选取了独立于把持系统的新 ESXi 系统结构，并且在自己研发的主题 VMkernel 中实现了必备的虚构机治理职能，这也就躲避了与通用操作系统有关的安全缝隙引发的安全风险。

工作结构.png

图3. VMware ESX/ ESXi 工作结构

VMware vCenter Server（简称vCenter Server）是vSphere的另表一个主题组件，它是一个能够援手用户治理多个VMware虚构化平台的软件，必要单独装置在一台服务器中。在vSphere中，用户能够将多个ESX/ESXi 主机增长到vCenter Server 治理平台中，而后通过vCenter Server治理ESX/ESXi主机和其中创建的所有虚构机，整个工作结构如图4所示。固然目前发现的勒索软件针对的是ESX/ESXi主机，但vCenter Server能够直收受理ESX/ESXi多台主机。若是vCenter Server存在缝隙被攻击者利用，那么就无疑将数台ESX/ESXi主机的大门向攻击者敞开，攻击者能够肆意在ESX/ESXi中部署勒索软件，其后果的严沉性可想而知。

图4结构图.png

图4. vCenter Server 工作结构

三、针对vSphere勒索的有关活动

病毒勒索作为近年来盛行的网络攻击伎俩，逐步获得黑客团伙青睐，越来越多的勒索组织呈此刻公共视野，各大病毒勒索事务也逐步占据了沉大网络攻击事务的头版头条。近几年，勒索攻击事务层出不穷，对受害企业/组织造成沉大财富损失，勒索病毒已经成为各当部门门、组织和企业必要面对的沉要网络风险之一。自去年起头，勒索组织逐步起头把指标延长到VMware vSphere平台上，通过对其中ESX/ESXi服务器上的数台虚构机系统文件进行加密从而向受害组织/企衣氛索高额的赎金。去年7月，Sprite Spider勒索组织就起头对其勒索软件进行升级，使其在检测到ESXi主机后部署RansomEXX恶意法式试图窃取登录凭证向vCenter进行身份认证；同样对勒索软件进行ESX/ESXi针对性升级的还有勒索组织carbon spider、BabukLocker、REvil和BlackMatter。自去年起头，针对VMware虚构机的勒索病毒攻击事务也起头频发，去年11月巴西高档法院（STJ）受到大规模 RansomExx 勒索软件攻击，超过1000台虚构机文件被加密，这次事务与7月份进行VMware ESX/ESXi软件升级的Sprite Spider勒索组织是否有关联，我们无从得知；不仅国表用户遭逢了针对VMware ESX/ESXi的勒索攻击，国内用户同样也遭逢了此类攻击，在今年3月，国内某公司运维人员发现公司内部VMware ESXi主机上大量虚构机文件被加密，我们整顿的有关的事务功夫线如图5。

勒索病毒针对vSphere有关事务功夫线.png

图5. 勒索病毒针对vSphere有关事务功夫线

从去年起头，IABs团队逐步与勒索病毒一路进入公家的视野。IABs团队作为网络攻击地下产业的持久活跃参加者，通过在各大论坛销售主机权限来获取利益，它们将受害者主机的root权限销售给其他网络攻击从业者，由其他网络攻击者发展下一步的攻击活动，IABs团队并不直接参加攻击，这也削减了它们被其他法律机构追踪的风险。在以往的勒索攻击中，我们无法确定勒索组织是否是从IABs团队手中采办受害者主机权限，勒索组织与IABs团队合作这种模式可能早已出现，但是这种合作模式在逐步被各个勒索组织选取：据新闻称，美国最大燃油管路勒索事务中的主角DarkSide在勒索美国石油管路运营商Colonial Pipeline之前就曾在地下论坛发文寻找可能让其接触到市值4亿美元公司的IABs合作，如图6，美国燃油管路勒索事务是否有IABs团队参加，我们无从考证；另表，在地下论坛中，我们也观察到有多个IABs在追求勒索团队合作并销售vCenter/ESXi的Root权限，如图7。

图6. DarkSide追求与IABs团队合作.png

图6. DarkSide追求与IABs团队合作

勒索阻止结构.png

图7. IABs团队追求与勒索组织合作

四、针对vSphere勒索的原因分析

多多勒索组织起头将指标延长到vSphere平台上，无非是为了加密更多更沉要的数据以勒索更高额的赎金。针对vSphere平台的勒索攻击，可能使勒索组织像节造一间企业服务器的机房一样对数台服务器进行节造，攻击者对这些虚构机的源文件进行加密，可能直接造成数据库被加密、对表提供服务中断甚大公司系统瘫痪，勒索组织往往开出更高额的赎金。如此釜底抽薪的勒索方式，让受害者企业/组织短功夫难以应酬，极大地增长了勒索攻击的成功率和收益。其实，随着互联网技术的改革，勒索组织一向在不休寻找新的攻击指标和攻击伎俩，勒索组织做出 “针对vSphere平台攻击” 的这种扭转并非无意，结合有关资料，我们将在本章对勒索组织的这种扭转进行一个原因分析。

布景前提：随着互联网技术的急剧更新，网络用户量剧增，各个当部门门、组织和企业对推算资源和存储资源的需要骤增；云推算和虚构技术的鼓起让各大云服务提供商和虚构化技术公司为各个当部门门、组织和企业提供了定造化资源服务和虚构化解决规划以满足日常资源需要。VMware作为云服务和虚构化领域的领头企业，其客户险些涵盖所有领域；除此之表，各大云服务提供商也为其客户提供间接的VMware虚构化服务，从图8 “2020年服务器虚构化市场散布” 中能够看出，VMware已经成为虚构化市场的绝对霸主。针对VMware vSphere进行勒索能够占有多多勒索对象，同时可能通过虚构化平台vSphere节造企业/组织的大量数字资产，极大地提高了勒索的收益和成功率。

服务器趋向.png

图8. 2020年服务器虚构化解决规划的业务市场散布（起源：spiceworks）

技术前提：2019年底和2020年，VMware别离颁布安全公告建复了多个产品缝隙，其中VMware ESXi的两个缝隙CVE-2019-5544和CVE-2020-3992将导致VMware ESXi服务器上的远程代码执行，VMware已经对这两个缝隙进行了评估，并定级为严沉，CVSSv3 评分 9.8。这两个缝隙将影响多个版本的VMware vSphere用户，随后VMware提供建复补丁，但仍有大批客户由于各类原因并未对其使用的ESX/ESXi进行补丁，这为攻击者提供了便捷的入侵VMware ESX/ESXi主机的步骤和伎俩。

表部前提：自2020年起，IABs也将其指标扩大到了VMware vSphere平台上。对大部门勒索组织来说，与IABs合作是一项共赢的选择,由于从IABs手上采办ESX/ESXi主机权限的价值也仅仅只是赎金的极幼部门，通过这种方式，他们可能省去大量的人力、功夫、资源去获取ESX/ESXi主机的Root权限，直接通过采办的主机Root权限进行受害者主机登录，而后起头部署勒索软件进行勒索。同时，我们观察到有IABs（Initial access brokers）起头在地下黑客论坛上以250美金到500美金之间价值销售ESX/ESXi的Root权限，并展示出更多关于受害主机的信息来吸引客户采办，好比地域信息、权限信息、CPU信息、硬盘信息等，如图9所示，国内某用户的VMware ESX主机的Root权限在地下黑客论坛被销售。

IABs在地下论坛上售卖ESX权限.png

图9. IABs在地下论坛上售卖ESX权限

五、针对vSphere的勒索样本分析

自去年起头，各大勒索组织起头颁布针对VMware vSphere虚构平台版本的勒索法式，已经有多家企业/组织遭到攻击并且损失惨沉。在本幼节中，我们将以ADLab对勒索家族的持续钻研为基础，结合部门国表安全厂商对此类攻击活动的披露来对部门勒索组织的样本进行分析，同时结合现实攻击案例对此类攻击的攻击流程进行了总结。如图10，在现实场景中，ESX/ESXi主机上会部署多台虚构机对通常用户提供根基服务，若是配置不当，通常用户能通过网络能接见ESX/ESXi主机，这就会给黑客提供可乘之机；通常情况下，黑客首先会在地下论坛中追求指定版本的ESX/ESXi缝隙利用法式或root登录权限，当获取到缝隙利用法式或root登录权限后，黑客就能直接入侵ESX/ESXi主机并且在其中部署勒索软件对其中的虚构机进行加密并勒索赎金。从图中能够看出，若是勒索攻击对象是云服务提供商/虚构服务提供商的ESX/ESXi主机，那么该提供商的多多客户都将受到影响，大面积的企业用户主机将遭到勒索病毒习染，这将带来与今年美国IT治理软件造作商Kaseya遭到的供给链式勒索攻击类似的了局，而Kaseya的勒索攻击已经习染了超过100万个系统，超过1500家企业受到影响。

针对vSphere虚构平台的勒索攻击场景.png

图10. 针对vSphere虚构平台的勒索攻击场景

接下来，我们将对部门勒索组织的样本进行具体技术分析，通过横向比对，能够总结出这些针对VMware vSphere虚构平台勒索法式的执行特点：通常情况下，勒索软件首先会使用ESX/ESXi的esxcli指令查找虚构机过程；而后，恶意法式会使用esxcli指令关关虚构机，这一步通常是为了预防对虚构机文件进行加密时对虚构机原文件造成粉碎，从而导致加密失败；接下来，恶意法式将在指定蹊径下进行虚构机有关文件搜索（通常蕴含虚构机虚构磁盘文件vmdk、虚构机虚构内存文件vmem、虚构机页互换文件vswp，日志文件log、虚构机快照文件vmsn等）；最后，恶意法式将对搜索到的虚构机有关文件进行加密，同时奉告受害者缴纳赎金。

5.1 DarkSide

DarkSide勒索软件最早于2020年8月被发现，是一支非�；钤镜男滦死账魍呕�。DarkSide组织自2020年8月起头频仍活动，并在今年5月攻击了美国最大的燃油管路公司Colonial Pipeline，导致美国东部沿海重要城市输送油气的管路系统被迫下线，17个州和首都地点的华盛顿特区颁发进入垂危状态，引起了巨大的轰动和全球的关注。最终，Colonial Pipeline支付了近75比特币（约合近500万美元）才使数据得以复原，运输工作正常运行。同时我们也发现，DarkSide在去年就已经具备攻击ESXi的职能。

样本技术分析

为了更好地加密虚构机，DarkSide使用了很多ESXi上独有的esxcli号令，如在加密虚构机前会使用esxcli号令来遍历出ESXi上在运行的虚构机。

DarkSide使用esxcli号令强造关关在运行的虚构机.png

除了以上号令，在DarkSide还用了很多esxcli号令，具体如下表所示：

加密蹊径.png

DarkSide通过遍历文件，并且判断文件后缀是否为vmdk（虚构机虚构磁盘文件），vmem（虚构机虚构内存文文件），vswp（虚构机页互换文件），log（日志文件），vmsn（虚构机快照文件）来决定是否进行加密，加密成功后会在原文件后缀后参与darkside。

文件大幼判断.png

最后，DarkSide会留下勒索信忠告受害者，并且在信中留下还原数据的方式以及交赎金的地址

勒索信.png

5.2 REvil

REvil也被称为Sodinokibi，是一个臭名远扬的勒索团伙，其攻击最早能够追忆到2019年4月。该勒索团伙作案频仍，并曾攻击过多个大型公司如美国当先的视频传输提供商SeaChange International、驰名硬件和电子公司宏基公司、全球再生能源巨擘Invenergy公司、全球最大肉类供给商JBS公司。而在今年7月美国远程IT治理软件厂商Kaseya也遭逢到了REvil的攻击，导致全球超过10000家的Kaseya客户，其中蕴含50%以上的全球100强IT治理服务提供商及各大龙头受到勒索攻击的风险。据称这次攻击是REvil有史以来规模最大的一次攻击，据其官网宣称，他们已经锁定了超过100万个系统，并向Kaseya索取70000000美元的赎金。而在今年5月，我们观察到REvil运营商在地下黑客论坛上颁布了针对Vmware ESXi的Linux版本。

样本技术分析

为了预防虚构机有关的文件受到不用要的败坏，REvil在加密前也同样会先关关ESXi上在运行的虚构机，但与DarkSide分歧的是REvil先使用pkill -9的号令关关与虚构机有关的过程。

号令关关.png

而后REvil使用excli号令遍历出所有在运行的ESXi虚构机并且关关它们，使用此号令会关关存储在 /vmmfs/ 文件夹中的虚构机磁盘 (VMDK) 文件，预防REvil对这些文件进行加密时由于被 ESXi 锁定而导致加密失败。

号令关关机械.png

与其他针对ESXi的勒索软件分歧的是，REvil不会对虚构机文件的后缀进行判断，而是对加密蹊径下所有的文件都进行加密，并判断该文件是否已经被加密了和是否拥有RWX权限或者RW权限（若是拥有这些权限，则这些文件是被系统�；さ模├淳龆ㄊ欠窠屑用�。

加密文件过程.png

最后，REvil留下勒索信忠告受害者并且在信中留下还原数据的方式以及交赎金的地址。

图20. REvil的勒索信.png

图20. REvil的勒索信

5.3 HelloKitty

HelloKitty勒索软件攻击活动最早能够追忆到2020年，重要针对Windows系统。其在2021年2月攻击了CD Projekt Red公司并宣称窃取了该公司出品的“Cyberpunk 2077”、“Witcher 3”、“Gwent ”和其他游戏的源代码。而在今年7月，我们观察到该木马的Linux变体起头针对Vmware ESXi进行攻击。其中，被攻击的指标蕴含意大利和荷兰的造药公司、一家德国造作商、一家澳大利亚提供工业自动化解决规划的公司以及美国一家医疗办公室和股票经纪人。在赎金方面，攻击者会因攻击指标公司的规模分歧，而要求支付分歧金额的赎金，其勒索的赎金最高可达1000万美金。

样本技术分析

HelloKitty勒索软件首先会使用esxcli号令来遍历出当前受习染机械上在运行的虚构机过程，并尝试关关这些虚构机。为了预防虚构机有关的文件遭到不用要的败坏，该病毒在加密文件前会先将虚构机关关。

该勒索软件初次关关虚构机，会使用软终止来实现该过程。

号令：esxcli vm process kill -t=soft -w=%d

若是仍有虚构机在运行，该病毒将会使用硬终止来实现该过程。

号令：esxcli vm process kill -t=hard -w=%d

若是还有虚构机未被关关，则会使用强造终止来实现该过程。

号令符.png

赎金文本.png

5.4 BlackMatter

2021年7月，一个名为BlackMatter的新勒索软件组织在采办企业网络的接见权限，同时宣称其项目已将REvil和DarkSide的最佳职能融入其中。BlackMatter还暗示，他们的勒索软件合用于多种分歧的操作系统版本和架构，并以多种体式提供。蕴含支持安全模式的Windows变体（Windows Server2003+x86/x64和Windows7+x86/x64）和支持NAS的Linux变体（ESXI5+、Ubuntu、Debian和CenOs），且这些变体在一样系统上均已测试成功。

样本技术分析

BlackMatter在ESXI服务器上运行时，其首先使用esxcli号令列出所有在运行的VMware虚构机。

虚构机.png

接着，BlackMatter会获取当前系统所有在运行的过程，并将这些过程强造实现。

配置文件.png

加密文件后缀.png

勒索文本.png

六、总结与建议

针对虚构化平台VMware vSphere的勒索攻击成为勒索组织的新型攻击方向，本文从多个角度对此类攻击进行了综合分析。针对虚构化平台VMware vSphere的勒索攻击可能会越发频仍：首先，攻击者对虚构机治理平台的ESX/ESXi主机进行习染后能够对其中的数台虚构机源文件进行加密，将直接影响受害企业/组织的多台利用服务器/数据库，这种方式节造了越发沉要企业/组织的数字资产，可能勒索更高额的赎金并且大大提高成功率，这正是勒索组织的主标题标；其次，越来越多的黑客将指标转向了VMware vSphere，有关的安全缝隙再三被发现，但很多客户由于各类原因限度并未能实时补丁，这也为勒索组织入侵到企业的ESX/ESXi主机提供了方便；另表，IABs团队在地下论坛中针对VMware vSphere的活动也越加频仍，同时它们也在积极追求与勒索组织进行合作，IABs团队可能提供专业ESX/ESXi主机的入侵服务，它与勒索组织的合作将会把针对vSphere的勒索攻击推上新一轮的热潮。

能够看出，随着互联网技术的不休改革和市场的变动，勒索组织也在不休扩大它们的攻击方向和追求更有效的攻击手法，以便在勒索攻击中获取更高额的赎金同时大幅提高勒索的成功率。VMware vSphere只是多多虚构化平台的其中一个，只是由于它的市场重大，成为了攻击者的首选指标；随着功夫的推移，其他虚构化平台如：Microsoft、Oracle和Red Hat等很可能会成为攻击者的新指标，各大企业/组织该当把稳提前做好针对性防御。针对vSphere虚构平台的勒索攻击将对受害者企业带来难以估计的损失，我们将结合本文的分析和有关资料向vSphere用户提出下面几条针对性防御建议：

建议使用 TPM 2.0 芯片进行vSphere进行安全配置。

在物理服务器上启用UEFI安全启动职能，通过确保在疏导中加载的所有代码都经过数字署名且未被篡改，从而加强操作系统的安全性。

不容在ESX/ESXi主机上执行自界说代码，保障ESX/ESXi主机回绝执行任何未通过认证合作同伴署名的 VIB 包装置的代码。

当vSphere平台有关的产品存在安全补丁颁布时，积极参加系统及有关的虚构化平台组件（vCenter服务器、ESX/ESXi主机、VMware工具等）的更新。

对虚构机平台的治理账户使用高强度密码。

在内部网络中进行网络区域划分，将对表服务的主机和仅内部接见的主机进行分隔治理，并且为虚构平台治理员提供专用的vCenter服务器和ESX/ESXi治理接口以及专用的工作站。

配置集中式的纪录日志，预防治理系统配置和环境遭到篡改。

尽可能高频率地进行系统备份，以便在遭到勒索攻击后能尽快地实现系统复原。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】