歡迎光臨廣東齊思達(dá)信息科技有限公司官方網(wǎng)站!
熱門關(guān)鍵詞: 信息安全 云計算 弱電工程 機(jī)房建設(shè) IT基礎(chǔ)架構(gòu)
日期:2023-02-10 閱讀數(shù):1226
2年前的老漏洞重現(xiàn)“江湖”
還帶來了全球大規(guī)模的勒索攻擊?!
人心惶惶如何防?看這篇就夠了!
近日,深信服千里目安全技術(shù)中心在運(yùn)營工作中發(fā)現(xiàn)了一種新的勒索軟件ESXiArgs,該勒索軟件于今年2月開始大規(guī)模出現(xiàn)。截至2月8日凌晨,基于censys統(tǒng)計數(shù)據(jù),全球已受影響服務(wù)器有 2453 臺,國內(nèi)已受影響服務(wù)器數(shù)十臺左右。多國網(wǎng)絡(luò)安全組織機(jī)構(gòu)已對此發(fā)出警告。
VMware ESXi 是 VMware 開放的服務(wù)器資源整合平臺,可實現(xiàn)用較少的硬件集中管理多臺服務(wù)器,并提升服務(wù)器性能和安全性,大規(guī)模應(yīng)用于國內(nèi)全行業(yè)的虛擬化平臺建設(shè),可直接訪問并控制底層資源。
據(jù)分析,攻擊者利用2年前發(fā)現(xiàn)的(已發(fā)布補(bǔ)丁,但客戶側(cè)未經(jīng)修補(bǔ)) RCE 漏洞 CVE-2021-21974 將惡意文件傳輸至 ESXi 導(dǎo)致 OpenSLP 服務(wù)中的堆溢出,從而獲得交互式訪問,借以部署新的 ESXiArgs 勒索病毒。
【詳細(xì)分析文章請點(diǎn)擊:《ESXiArgs 勒索軟件攻擊之 VMware ESXi 服務(wù)器下的“天幕殺機(jī)”》】
國內(nèi)存在該漏洞影響的服務(wù)器數(shù)量如下所示(基于shodan統(tǒng)計數(shù)據(jù)):
攻擊者加密后,會導(dǎo)致關(guān)鍵數(shù)據(jù)被損壞,虛擬機(jī) (VM)處于關(guān)閉、無法連接狀態(tài),可能造成用戶生產(chǎn)環(huán)境停線的嚴(yán)重后果;除了面臨部分業(yè)務(wù)被中斷,被攻擊者還面臨著2比特幣左右的勒索贖金,給正常工作帶來了極為嚴(yán)重的影響。
我中招了嗎?
風(fēng)險排查、緊急加固及處置建議
勒索風(fēng)險自查
步驟一:檢查/store/packages/目錄下是否存在vmtools.py后門文件。如果存在,建議立即刪除該文件。
步驟二:檢查/tmp/目錄下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,應(yīng)及時刪除。
勒索處置建議
步驟一:立即隔離受感染的服務(wù)器,進(jìn)行斷網(wǎng);
步驟二:使用數(shù)據(jù)恢復(fù)工具恢復(fù)數(shù)據(jù)或重裝ESXi
美國CISA發(fā)布了 ESXiArgs 勒索軟件恢復(fù)腳本,相關(guān)鏈接如下:
https://github.com/cisagov/ESXiArgs-Recover
步驟三:重復(fù)“勒索風(fēng)險自查”步驟;
步驟四:恢復(fù)修改后的部分文件
(1)查看/usr/lib/vmware目錄下的index.html文件是否為勒索信,如果是,立即刪除該文件。
(2)查看/etc/目錄下是否存在motd文件,如果存在,立即刪除。
漏洞自查
根據(jù)外部情報調(diào)查顯示,該勒索攻擊利用ESXI的未修補(bǔ)漏洞CVE-2021-21974進(jìn)行勒索病毒投放,并且VMware廠商表示并沒有證據(jù)表明該勒索攻擊使用了0day。因而可以針對該漏洞進(jìn)行預(yù)防。
(1)查看ESXi的版本
方式1:登陸EXSi后臺,點(diǎn)擊幫助-關(guān)于,即可獲取版本號。
方式2:訪問EXSi終端,輸入“vmware -vl”命令即可獲取版本號。
(2)查看OpenSLP服務(wù)是否開啟
訪問EXSi終端,輸入“chkconfig --list | grep slpd”命令即可查看OpenSLP服務(wù)是否開啟。輸出“slpd on”為開啟,輸出“slpd off”則代表未開啟。
若ESXi版本在漏洞影響范圍內(nèi),且OpenSLP服務(wù)開啟,則可能受此漏洞影響。
漏洞加固
加固方案1:升級ESXi至如下版本
ESXi7.0 版本:升級到 ESXi70U1c-17325551 版本及以上
ESXi6.7 版本:升級到 ESXi670-202102401-SG 版本及以上
ESXi6.5 版本:升級到 ESXi650-202102101-SG 版本及以上
加固方案2:在ESXi中禁用OpenSLP服務(wù)
禁用OpenSLP屬于臨時解決方案,該臨時解決方案存在一定風(fēng)險,建議用戶可根據(jù)業(yè)務(wù)系統(tǒng)特性審慎選擇采用臨時解決方案:
1、使用以下命令在 ESXi 主機(jī)上停止SLP 服務(wù):
/etc/init.d/slpd stop
2、運(yùn)行以下命令以禁用 SLP 服務(wù)且重啟系統(tǒng)后生效:
esxcli network firewall ruleset set -r CIMSLP -e 0
chkconfig slpd off
3、運(yùn)行此命令檢查禁用 SLP 服務(wù)成功:
chkconfig --list | grep slpd
若輸出slpd off 則禁用成功
停止SLP服務(wù)后,運(yùn)行攻擊腳本發(fā)現(xiàn)427端口已經(jīng)關(guān)閉,漏洞無法進(jìn)行利用。
突發(fā)事件怎么防?
云網(wǎng)端常態(tài)化安全防護(hù)思路
本次事件是由于老漏洞被利用而引發(fā)的大規(guī)模勒索攻擊事件。面對這一類突發(fā)事件,深信服提供了一套長效治理的整體解決方案。
云網(wǎng)端安全托管方案
勒索入侵的方式多種多樣,最終會攻陷服務(wù)器或PC終端,因此要想實現(xiàn)更加可靠的攔截,必須在云網(wǎng)端做到全方位保障。
深信服云網(wǎng)端安全托管方案“見招拆招”,在終端和網(wǎng)絡(luò)針對勒索病毒復(fù)雜的入侵步驟打造了全生命周期防護(hù),構(gòu)建勒索風(fēng)險有效預(yù)防、持續(xù)監(jiān)測、高效處置的勒索病毒防御體系。
在云端,依托于安全托管服務(wù)MSS,云端安全專家7*24小時監(jiān)測分析,定期將最新漏洞態(tài)勢、全球勒索攻擊趨勢、行業(yè)運(yùn)營經(jīng)驗等賦能本地終端和網(wǎng)絡(luò)安全設(shè)備,并總結(jié)攻擊態(tài)勢和防護(hù)結(jié)果,形成可視化報表,提升安全效果和價值呈現(xiàn)。同時提供勒索理賠服務(wù),為勒索防護(hù)兜底。
云網(wǎng)端安全托管方案針對勒索攻擊,常態(tài)化構(gòu)建整體防護(hù)體系,降低處置運(yùn)維成本,致力于讓用戶的安全體驗領(lǐng)先一步,安全效果領(lǐng)跑一路。
下一代防火墻AF
本次攻擊是日益猖獗的勒索攻擊對nday漏洞的利用,根據(jù)深信服勒索病毒態(tài)勢分析報告,有22.9%的勒索事件入侵是通過高危應(yīng)用漏洞攻擊,漏洞的威力不容小覷。因此對漏洞攻擊的精準(zhǔn)有效攔截是打造網(wǎng)絡(luò)安全體系的“強(qiáng)大底座”。
深信服下一代防火墻具備豐富的威脅智能檢測引擎,包括IPS泛化檢測引擎、Web防護(hù)WISE語義引擎等,且擁有全面的Web攻擊防御功能(支持13種主流Web攻擊類型),從而使產(chǎn)品整體安全漏洞攻擊攔截率達(dá)到99.7%,漏洞檢測效果獲得全球廠商最高評分,并成為國內(nèi)唯一以最高攻擊攔截率通過CyberRatings AAA認(rèn)證的防火墻產(chǎn)品。
此外,深信服下一代防火墻還搭載了全新人機(jī)識別技術(shù)Antibot,開啟后對訪問請求進(jìn)行主動驗證,通過漏洞掃描防護(hù)和防口令爆破,從源頭上防御勒索入侵問題。
同時,深信服AF可實現(xiàn)安全事件分鐘級告警、一鍵處置,通過云圖平臺,采用微信即時通訊方式,在發(fā)送安全事件后第一時間通知安全運(yùn)營人員,一鍵阻斷攻擊者后續(xù)入侵,提升安全響應(yīng)效率。
終端安全管理系統(tǒng)EDR
作為勒索攻擊的最后一道防線,終端安全產(chǎn)品的重要性不言而喻。
在端點(diǎn)側(cè),深信服終端安全管理系統(tǒng)EDR通過一套平臺架構(gòu)面向PC、服務(wù)器,提供基于勒索病毒攻擊鏈為終端構(gòu)建涵蓋“預(yù)防-防護(hù)-檢測響應(yīng)”的4-6-5多層次立體防御。包括勒索誘捕、微隔離、輕補(bǔ)丁漏洞免疫、RDP爆破防護(hù),二次登陸防護(hù)等等。
基于國際知名攻擊行為知識庫 ATT&CK矩陣,深信服EDR對終端系統(tǒng)層、應(yīng)用層的行為數(shù)據(jù)進(jìn)行采集,覆蓋 163 項技術(shù)面,貼合實際攻擊場景,綜合研判更加精準(zhǔn),并通過國際知名測評機(jī)構(gòu)賽可達(dá)實驗室的能力認(rèn)證。
通過IOA+IOC 技術(shù)融合,EDR能夠?qū)⒍藗?cè)采集的行為數(shù)據(jù)結(jié)合業(yè)務(wù)環(huán)境關(guān)聯(lián)分析,重現(xiàn)威脅入侵事件場景,從場景層面抽絲剝繭,提升研判精準(zhǔn)度。
云端安全專家團(tuán)隊結(jié)合數(shù)據(jù)自動化聚合,對端側(cè)上報的海量數(shù)據(jù)進(jìn)行分析,研判安全事件,精準(zhǔn)定位威脅根因,快速響應(yīng)。