針對(duì)VMware vSphere的勒索病毒來(lái)了
來(lái)源:湖北國(guó)菱網(wǎng)絡(luò)安全
時(shí)間:2021-03-19
注意了,針對(duì) VMware vSphere 的勒索病毒正在嘗試著攻擊,它們似乎正在尋找機(jī)會(huì)和積累經(jīng)驗(yàn)。
2021 年 3 月 15 日,一篇關(guān)于 VMware vSphere 被勒索病毒攻擊的博客文章(小岑博客)引起了行業(yè)人士的廣泛關(guān)注。文章詳細(xì)介紹了虛擬機(jī)被勒索病毒攻擊后,出現(xiàn)了大量虛擬機(jī)關(guān)閉,虛擬機(jī)處于關(guān)機(jī),并處于無(wú)法連接狀態(tài),用戶生產(chǎn)環(huán)境停線等嚴(yán)重問(wèn)題。
據(jù)博主透露,VMware vSphere 集群僅有 vCenter 處于正常狀態(tài);同時(shí)企業(yè)中 Windows 桌面電腦、筆記本大量出現(xiàn)被加密情況。
這意味著虛擬機(jī)系統(tǒng)被攻擊最糟糕的情況還是出現(xiàn)了。
一般情況下,勒索病毒很難做到跨操作系統(tǒng)的感染,例如臭名昭著的 WannaCry,針對(duì) Windows 系統(tǒng)的漏洞可以加密,但是遇到虛擬機(jī)操作系統(tǒng)時(shí)就失效了。
但一切正在改變,公有云及私有云等數(shù)據(jù)中心采用虛擬化的部署方式,不僅實(shí)現(xiàn)了計(jì)算資源利用率的最大化,還有利于節(jié)能環(huán)保。在計(jì)算機(jī)虛擬化的進(jìn)程中,VMware vSphere 虛擬化平臺(tái)市場(chǎng)占有率最大,自然成為了勒索病毒攻擊的重點(diǎn)。
△不同虛擬機(jī)平臺(tái)正在被企業(yè)大量使用
來(lái)者不善,這次的勒索病毒造成 VMware vSphere 部分的虛擬機(jī)磁盤文件.vmdk、虛擬機(jī)描述文件.vmx 被重命名,手動(dòng)打開(kāi).vmx 文件,發(fā)現(xiàn).vmx 文件被加密。另外 VMware vm-support 日志收集包中,也有了勒索軟件生成的說(shuō)明文件。
△ESXI 日志診斷包出現(xiàn)說(shuō)明文件
文章提到,勒索團(tuán)隊(duì)在攻擊感染了 VMware vSphere 虛擬機(jī)文件的同時(shí),也加密了Windows 系統(tǒng)文件:
(1)Windows 客戶端出現(xiàn)文件被加密情況,加密程度不一,某些用戶文件全盤加密,某些用戶部分文件被加密。
(2)Windows 系統(tǒng)日志被清理,無(wú)法溯源(客戶端均安裝有 McAfee 企業(yè)防病毒軟件,但未起到防護(hù)作用)。
(3)使用火絨、Autoruns、深信服 EDR 產(chǎn)品,暫未發(fā)現(xiàn)異常。
同時(shí)感染了 VMware+Windows,這是 Double Kill。幸運(yùn)的是在計(jì)算機(jī)虛擬化領(lǐng)域,玩家都是專業(yè)級(jí)人員,也就是精通 IT 技術(shù)的人員才會(huì)涉足像 VMware vSphere 這樣的平臺(tái)產(chǎn)品。換句話說(shuō),在這場(chǎng)戰(zhàn)斗中,進(jìn)攻方與防御方旗鼓相當(dāng),被攻擊方對(duì)數(shù)據(jù)、業(yè)務(wù)恢復(fù)的能力要比普通的 IT 小白強(qiáng)得多。
針對(duì)本次病毒攻擊事件,文章提到了數(shù)據(jù)恢復(fù)的具體措施。
一是針對(duì) VMware vSphere 被感染的虛擬機(jī)文件:
(1)得益于客戶現(xiàn)有存儲(chǔ)每天執(zhí)行過(guò)快照,VMware vSphere虛擬化主機(jī)全部重建后,通過(guò)存儲(chǔ)LUN快照創(chuàng)建新的LUN掛載給ESXI,進(jìn)行手動(dòng)虛擬機(jī)注冊(cè)。然后啟動(dòng)虛擬機(jī)逐步驗(yàn)證數(shù)據(jù)丟失情況、恢復(fù)業(yè)務(wù)。
(2)用戶有數(shù)據(jù)備份環(huán)境,部分存儲(chǔ)于本地磁盤的 VMware 虛擬機(jī),由于無(wú)法通過(guò)快照的方式還原,通過(guò)虛擬機(jī)整機(jī)還原。
(3)對(duì)于沒(méi)有快照、沒(méi)有備份的虛擬機(jī),只能選擇放棄,后續(xù)重構(gòu)該虛擬機(jī)。
(4)對(duì)現(xiàn)有虛擬化環(huán)境進(jìn)行了升級(jí)。
企業(yè)級(jí)操作系統(tǒng),快照、備份就是企業(yè)生產(chǎn)的生命線。但是每天執(zhí)行快照,并恢復(fù)的顆粒度是多大,這個(gè)值得警惕,顆粒度大,必然造成數(shù)據(jù)丟失,損失在所難免。
二是針對(duì) Windows 被感染的文件:
(1)對(duì)于 Windows 客戶端進(jìn)行斷網(wǎng)處理,并快速搶救式備份數(shù)據(jù)。
(2)開(kāi)啟防病毒軟件的防勒索功能。
數(shù)據(jù)災(zāi)備真的太重要了。
從這次事件看,勒索病毒已經(jīng)開(kāi)始瞄上了 VMware vSphere,或許它們正在偷偷前行,等待合適時(shí)機(jī)進(jìn)行大規(guī)模進(jìn)攻。這并非是危言聳聽(tīng),最近針對(duì) VMware vSphere 系統(tǒng)漏洞的攻擊發(fā)生在今年的 2 月,勒索軟件團(tuán)隊(duì)通過(guò) “RansomExx” 病毒,利用 VMWare ESXi 產(chǎn)品中的漏洞(CVE-2019-5544、CVE-2020-3992),對(duì)虛擬硬盤的文件進(jìn)行加密。
△RansomExx 被殺毒軟件發(fā)現(xiàn)
“RansomExx” 病毒早在去年 10 月就被發(fā)現(xiàn)非法入侵企業(yè)的網(wǎng)絡(luò)設(shè)備,并攻擊本地的 ESXi 實(shí)例,進(jìn)而加密其虛擬硬盤中的文件。由于該實(shí)例用于存儲(chǔ)來(lái)自多個(gè)虛擬機(jī)的數(shù)據(jù),因此對(duì)企業(yè)造成了巨大的破壞。
那么,如何對(duì)虛擬機(jī)進(jìn)行備份,以及針對(duì)關(guān)鍵虛擬機(jī)進(jìn)行容災(zāi),比如熱備或溫備。
首先從備份策略來(lái)講,針對(duì)虛擬機(jī)的備份越來(lái)越充滿挑戰(zhàn),主要來(lái)自兩方面:一是虛擬機(jī)數(shù)量極其龐大,少則十幾臺(tái),多則數(shù)千臺(tái),特別是在政務(wù)云、私有云這種虛擬化平臺(tái)上,虛擬機(jī)數(shù)量太多,傳統(tǒng)的針對(duì)每臺(tái)虛擬機(jī)安裝 Agent 進(jìn)行備份操作,顯得過(guò)于繁瑣和落后;二是用戶對(duì)于備份實(shí)時(shí)性要求越來(lái)越高,RPO 值越低越能減少企業(yè)的損失。
針對(duì)這兩大問(wèn)題,可以通過(guò)無(wú)代理的虛擬化備份管理軟件,通過(guò) VMware vSphere 開(kāi)放的接口進(jìn)行統(tǒng)一備份,并根據(jù)用戶生產(chǎn)環(huán)境和數(shù)據(jù)量,合理設(shè)置周期性備份策略,以降低備份的 RPO 值。
其次從虛擬機(jī)容災(zāi)策略來(lái)講,虛擬機(jī)故障通常分為兩類:一是平臺(tái)型故障,比如物理機(jī)故障導(dǎo)致虛擬機(jī)不可用,或者機(jī)房發(fā)生安全事件導(dǎo)致系統(tǒng)不可用;二是單機(jī)系統(tǒng)故障,系統(tǒng)運(yùn)行慢或宕機(jī)。
針對(duì)虛擬機(jī)不可用的問(wèn)題,如果是平臺(tái)型故障,可以通過(guò)負(fù)載均衡進(jìn)行整體切換實(shí)現(xiàn)故障接管;如果是單機(jī)型故障,可以通過(guò)容災(zāi)高可用方案進(jìn)行接管。通常虛擬機(jī)平臺(tái)擁有單機(jī)容災(zāi)機(jī)制,但在策略上,ISV 推出的高可用軟件可能更有優(yōu)勢(shì),它可以自動(dòng)根據(jù)“服務(wù)異常停止、網(wǎng)絡(luò)異常、硬件故障、系統(tǒng)宕機(jī)”進(jìn)行系統(tǒng)的自動(dòng)接管,或提示運(yùn)維人員進(jìn)行判斷是否接管。
另外,數(shù)據(jù)副本管理(CDM)技術(shù)的成熟,也可以對(duì)大量的虛擬機(jī)系統(tǒng)進(jìn)行溫備。CDM 技術(shù)可以通過(guò)不同的數(shù)據(jù)采集及備份策略,實(shí)現(xiàn)生產(chǎn)系統(tǒng)在進(jìn)行周期性備份時(shí),可以將備份周期的時(shí)間設(shè)置為分鐘級(jí)(如 30 分鐘備份一次)。當(dāng)虛擬機(jī)備份文件需要恢復(fù)時(shí),可以通過(guò)存儲(chǔ)掛載(NFS)的形式,直接將備份文件掛載在虛擬化平臺(tái)上進(jìn)行瞬時(shí)恢復(fù),掛載過(guò)程秒即完成,比普通恢復(fù)所需要的時(shí)間更小。
△備份文件 NFS 恢復(fù)與普通恢復(fù)
隨著虛擬機(jī)的普及,針對(duì)虛擬機(jī)的傷害變得越來(lái)越頻繁,樣式也越來(lái)越多樣。例如,2018 年 9 月,從思科離職 5 個(gè)月的 Sudhish Kasaba Ramesh,將魔爪伸向了他曾使用的個(gè)人 Google Cloud Project 賬戶,并使用 “rm -rf /* 命令行將 WebEx Teams 視頻會(huì)議和協(xié)作應(yīng)用軟件的 456個(gè)虛擬機(jī)刪除了。
而這次勒索病毒針對(duì) VMware vSphere 的攻擊,實(shí)際上是黑客團(tuán)隊(duì)推開(kāi)了針對(duì)虛擬機(jī)攻擊的大門。這次的攻擊,不能僅僅看成是一次簡(jiǎn)單的病毒攻擊事件。