VMware虛擬機(jī)系統(tǒng)也被勒索病毒盯上了

  • 人閱讀
  • 2021-03-18 11:29:45

  • 來源:頭條新聞網(wǎng)

  • 相關(guān)關(guān)鍵詞

3月15日,有VMware Vsphere用戶發(fā)博稱,他們的大量虛擬機(jī)被惡意關(guān)閉,并且處于無法連接狀態(tài),導(dǎo)致用戶生產(chǎn)環(huán)境停線嚴(yán)重事故。經(jīng)排查,他們的虛擬機(jī)被勒索病毒攻擊,花了一整天的時(shí)間,才將業(yè)務(wù)恢復(fù)了80%左右。這件事引起了行業(yè)人士的廣泛關(guān)注。

博主描述此次事件表現(xiàn)為:

1、VMware vSphere集群僅有vCenter處于正常狀態(tài)。

2、同時(shí)企業(yè)中Windows桌面PC,筆記本大量出現(xiàn)被加密情況。

這意味著虛擬機(jī)系統(tǒng)也被勒索病毒盯上了。

VMware vSphere部分:

瀏覽ESXI Datastore發(fā)現(xiàn),虛擬機(jī)磁盤文件.vmdk、虛擬機(jī)描述文件.vmx被重命名。手動(dòng)打開.vmx文件,發(fā)現(xiàn).vmx文件被加密。另外VMware vm-support日志收集包中,也有了勒索軟件生成的說明文件。

VMware虛擬機(jī)系統(tǒng)也被勒索病毒盯上了

Windows部分:

1、Windows客戶端出現(xiàn)出現(xiàn)文件被加密情況,加密程度不一,某些用戶文件全盤加密,某些用戶部分文件被加密。

2、Windows系統(tǒng)日志被清理,無法溯源。(客戶端均安裝有企業(yè)防病毒軟件,但并未起到防護(hù)作用。)

這次病毒感染了VMware虛擬機(jī)+Windows,一般情況下,勒索病毒很難做到跨操作系統(tǒng)的感染,例如臭名昭著的WannaCry,針對(duì) Windows系統(tǒng)的漏洞可以加密,但是遇到虛擬機(jī)操作系統(tǒng)時(shí)就失效了。

隨著計(jì)算機(jī)虛擬化的發(fā)展,公有云及私有云等數(shù)據(jù)中心采用虛擬化的部署方式已成為趨勢,而其中VMware vSphere虛擬化平臺(tái)市場占有率最大,自然成為了勒索病毒攻擊的重點(diǎn)。

從此次事件可以看出,勒索病毒已經(jīng)開始瞄上了VMware vSphere用戶,或許它們正在偷偷前行,等待合適時(shí)機(jī)進(jìn)行大規(guī)模進(jìn)攻。這并非是危言聳聽,最近針對(duì)VMware vSphere系統(tǒng)漏洞的攻擊發(fā)生在今年2月,勒索軟件團(tuán)隊(duì)通過“RansomExx”病毒,利用VMWare ESXi產(chǎn)品中的漏洞(CVE-2019-5544、CVE-2020-3992),對(duì)虛擬硬盤的文件進(jìn)行加密。

VMware虛擬機(jī)系統(tǒng)也被勒索病毒盯上了

RansomExx被發(fā)現(xiàn)(來源:Kaspersky)

“RansomExx”病毒早在去年 10 月就被發(fā)現(xiàn)非法入侵企業(yè)的網(wǎng)絡(luò)設(shè)備,并攻擊本地的ESXi 實(shí)例,進(jìn)而加密其虛擬硬盤中的文件。由于該實(shí)例用于存儲(chǔ)來自多個(gè)虛擬機(jī)的數(shù)據(jù),因此對(duì)企業(yè)造成了巨大的破壞。

根據(jù)已有VMware勒索事件發(fā)現(xiàn),他們利用VMware ESXi管理程序漏洞對(duì)虛擬機(jī)進(jìn)行加密。Carbon Spider和Sprite Spider這兩個(gè)團(tuán)伙專門攻擊ESXi虛擬機(jī)管理程序,發(fā)動(dòng)大規(guī)模的勒索病毒活動(dòng)(又叫大型目標(biāo)狩獵,BGH)。

他們通過vCenter Web登錄信息攻擊ESXi系統(tǒng),可控制多個(gè)ESXi設(shè)備的集中式服務(wù)器,連接到vCenter后,他們使SSH能夠?qū)SXi設(shè)備進(jìn)行持久訪問,并更改root密碼或主機(jī)的SSH密鑰,與此同時(shí)植入Darkside勒索病毒,達(dá)成目的。

上個(gè)月底VMware也發(fā)布了一份安全公告,對(duì)其虛擬化產(chǎn)品中的三個(gè)高危漏洞打上了補(bǔ)丁,這包括ESXi裸機(jī)虛擬機(jī)管理程序中的堆緩沖區(qū)溢出漏洞,以及vCenter Server的底層操作系統(tǒng)漏洞。VMware用戶請(qǐng)?zhí)岣呔?..

此次事件的博主提到了他們的處理方式:

一是針對(duì) VMware vSphere 被感染的虛擬機(jī)文件:

1、得益于客戶現(xiàn)有存儲(chǔ)每天執(zhí)行過快照,VMware vSphere虛擬化主機(jī)全部重建后,通過存儲(chǔ)LUN快照創(chuàng)建新的LUN掛載給ESXI,進(jìn)行手動(dòng)虛擬機(jī)注冊(cè)。然后啟動(dòng)虛擬機(jī)逐步驗(yàn)證數(shù)據(jù)丟失情況、恢復(fù)業(yè)務(wù)。

2、用戶有數(shù)據(jù)備份環(huán)境,部分存儲(chǔ)于本地磁盤的VMware 虛擬機(jī),由于無法通過快照的方式還原,通過虛擬機(jī)整機(jī)還原。

3、對(duì)于沒有快照、沒有備份的虛擬機(jī),只能選擇放棄。后續(xù)重構(gòu)該虛擬機(jī)。

4、對(duì)現(xiàn)有虛擬化環(huán)境進(jìn)行了升級(jí)。

二是針對(duì)Windows被感染的文件:

對(duì)于Windows客戶端進(jìn)行斷網(wǎng)處理,并快速搶救式備份數(shù)據(jù)。

開啟防病毒軟件的防勒索功能。

從事件解決方式可以看出來:數(shù)據(jù)災(zāi)備才是最有效的安全保障。那么,如何對(duì)虛擬機(jī)進(jìn)行備份,以及針對(duì)關(guān)鍵虛擬機(jī)進(jìn)行容災(zāi)?

1、海量虛擬機(jī)環(huán)境用戶

采用云祺VMware vSphere無代理備份,為用戶日常運(yùn)維成本降低幾十甚至數(shù)百倍。

2、降低RPO實(shí)現(xiàn)容災(zāi)

云祺容災(zāi)可恢復(fù)至被勒索病毒感染的前一刻,最小備份恢復(fù)力度可達(dá)毫秒級(jí),RPO值越低越能減少用戶損失。

3、靈活備份業(yè)務(wù)數(shù)據(jù)

靈活的備份模式和時(shí)間備份策略,在勒索病毒來臨前,按需設(shè)置備份任務(wù),確保擁有有效備份數(shù)據(jù)。

4、本地異地雙重保護(hù)

云祺可幫助用戶建設(shè)異地容災(zāi)系統(tǒng),即使本地業(yè)務(wù)系統(tǒng)因勒索病毒導(dǎo)致業(yè)務(wù)暫時(shí)中斷,也可在異地拉起業(yè)務(wù),實(shí)現(xiàn)業(yè)務(wù)接管。

5、數(shù)據(jù)歸檔三重保護(hù)

云祺將用戶重要備份數(shù)據(jù)本地歸檔或者云歸檔,有效地管理數(shù)據(jù),實(shí)現(xiàn)數(shù)據(jù)的長期保存,即使異地備份系統(tǒng)同時(shí)被攻擊,也有PLAN C。

6、Windows同步備份

為Windows用戶同步提供操作系統(tǒng)、數(shù)據(jù)庫、文件等數(shù)據(jù)的容災(zāi)備份,有效應(yīng)對(duì)“Double Kill”的勒索病毒攻擊。

VMware虛擬機(jī)系統(tǒng)也被勒索病毒盯上了

云祺已為全球160萬+臺(tái)虛擬機(jī)提供保護(hù),其中VMware用戶約占70%,提供成熟穩(wěn)定的VMware虛擬機(jī)備份與恢復(fù)解決方案。

我們做出了一些勒索病毒的反思和建議:

1、數(shù)據(jù)備份非常重要,建議有多份備份數(shù)據(jù),存儲(chǔ)于不同介質(zhì)或區(qū)域,備份往往是災(zāi)難發(fā)生后的唯一救命稻草。

2、存儲(chǔ)級(jí)別的冗余也很有必要,比如存儲(chǔ)的快照,復(fù)制,克隆等技術(shù),這些技術(shù)在備份和還原上非常的迅速,利于快速恢復(fù)業(yè)務(wù)。

3、關(guān)注廠商的安全公告,及時(shí)對(duì)現(xiàn)有環(huán)境中的軟硬件環(huán)境進(jìn)行升級(jí)。

而這次勒索病毒針對(duì)VMware vSphere的攻擊,實(shí)際上是不法團(tuán)隊(duì)推開了針對(duì)虛擬機(jī)攻擊的大門。這次事件也在提醒我們,重要數(shù)據(jù)必須備份。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )