优发国际网站官网

首页 > 清静研究 > 研究报告 > 攻击与威胁剖析

【数据清静新挑战】针对虚拟化平台VMware vSphere的勒索攻击专项剖析

宣布时间 2021-09-22

一、概述

《中华人民共和国数据清静法》于今日起（2021年9月1日）正式施行，这是一部数据领域的基础性执法，也是国家清静领域的一部主要执法。数字化刷新推动着国家生产模式的厘革，随着经济数字化、政府数字化、企业数字化的建设，数据已经成为我国政府和企业最为焦点的资产之一。而针对这些焦点数据资产的网络攻击却逐年递增，除了越来越频仍的数据泄露清静事务外，日益放纵的勒索攻击是数据清静面临的最为严重且危险的威胁，其具有破损性大、匿名性高、恢复难等特点。一旦数据资产遭到攻击，除了大宗名贵的数据被破损外，还会导致工厂歇工停产（如：富士康勒索攻击导致歇工的事务），甚至会威胁到国家清静（如：燃油管道公司Colonial Pipeline勒索攻击事务）。

现在，勒索组织普遍使用误差或者人工渗透的手段进入企业/组织内部系统，并在其中植入勒索病毒，并使用勒索病毒对其企业的主要数据资产举行加密然后实验赎金勒索。仅今年以来，就泛起了多起重大的勒索病毒攻击事务。5月份，美国最大的燃油管道公司Colonial Pipeline遭遇勒索病毒攻击，从而导致美国东部17个州和首都所在的华盛顿特区宣布进入紧迫状态；7月份，美国IT治理软件制造商Kaseya受到供应链攻击，黑客使用其软件中保存的误差向其客户发送勒索软件，凌驾1500家企业受到勒索攻击影响。

随着市场和手艺的厘革，勒索组织也在一直追求新的攻击目的和攻击手段以获取更丰富的赎金。据视察发明，自去年最先，勒索组织将目的扩展到了VMware的企业产品vSphere中并且对响应勒索软件举行针对性升级以适配针对VMware虚拟机的勒索。到现在为止，多家使用vSphere的企业已经遭到勒索，由于使用vSphere的企业需要在VMware ESX/ESXi主机上安排多台虚拟机以知足一样平常的服务器或数据库需求，勒索组织只要想法登录到企业的VMware ESX/ESXi主机，就能安排勒索软件对主机上的多台虚拟机源文件举行加密实验勒索。与以往古板的勒索攻击差别，以往的勒索攻击仅仅是针对某台或数台服务器中的部分主要数据加密，而系统依旧可以正常运行；而针对vSphere的勒索攻击可直接加密VMware ESX/ESXi主机中的所有的虚拟机源文件，这将直接导致数台事情服务器或数据库服务器无法正常运行，使企业/组织的主要营业中止甚至系统瘫痪，这对企业/组织来说将是致命的攻击。

勒索攻击已经成为各大企业/组织的主要网络清静威胁泉源，这种新盛行的针对vSphere的勒索攻击将带来比以往的勒索攻击更大的威胁。本文对“针对VMware vSphere的勒索攻击”举行了周全地剖析，通过团结手艺配景和相关事务运动剖析了勒索组织将攻击目的扩展到VMware vSphere的缘故原由，并且凭证相关攻击样本的剖析揭破了此类勒索攻击的勒索流程，同时凭证相关质料为宽大企业/组织提供了相关的防御建议。

二、攻击目的：vSphere

VMware vSphere（简称vSphere）是VMware旗下的一整套云盘算基础架构虚拟化平台，自宣布更新以来在全球已经拥有凌驾250000客户，其客户包括政府、军队、医疗、能源、交通、教育等在内的基础设施领域，如图1所示；同时，谷歌云、阿里云、亚马逊云等云服务提供厂商均对客户提供完整的vSphere虚拟化服务，相关市场也同样重大，如图2所示。拥有云云重大的市场，vSphere被勒索组织盯上也缺乏为奇，可是其客户险些涵盖所有领域，一旦产品泛起误差被攻击者使用导致主机被勒索病毒攻击，不但将造成工业损失，更有可能直接威胁国家清静。

图1. vSphere的客户领域漫衍.png

图1. vSphere的客户领域漫衍

图2. 云服务商提供VMware服务示例.png

图2. 云服务商提供VMware服务示例

VMware ESX/ESXi（简称ESX/ESXi）是vSphere的焦点组件之一。在vSphere中，ESX/ESXi是一个虚拟机治理程序，用于建设、运行和治理虚拟机历程的中心软件层，运行在基础物理服务器和操作系统之间，并且允许多个操作系总共享主机硬件。着实，ESX/ESXi并不依赖其它操作系统，而是直接装置在物理装备上，然后以ISO 的形式提供服务；用户直接在ESX/ESXi中建设、运行和治理自己的虚拟机，如图3所示。

在现实场景中，企业为了提高性能和本钱效益同时实现简化数据中心和利便大规模治理，往往会在一台ESX/ESXi服务器中安排数台甚至数十台虚拟机作为一样平常的事情服务主机或者数据库。以是，ESX/ESXi主机中会生涯着与它在统一物理主机上的其他虚拟机的源文件以便对这些虚拟机举行治理，它就好比存放着数台服务器的机房，若是机房被人挟制，将对一个企业或组织造成难以估量的损失，这也是ESX/ESXi主时机成为勒索组织攻击目的的主要缘故原由之一；另一个缘故原由则是，ESX/ESXi上安排的服务器/数据库可能需要向客户提供服务，这也使得攻击者有时机直接从网络接触到VMware ESX/ESXi主机，为攻击者提供了入侵的可能性。VMware公司虽然也很是清晰其产品清静的主要性，vSphere 5.0 之前的版本中均接纳ESX系统结构来实现对虚拟机的治理，ESX是依赖于Linux的控制台操作系统 (COS) 来实现可维护性和基于署理的相助同伴集成的，而Linux作为开源系统，与Linux相关的误差在各大清静社区和地下工业中层出不穷，这将VMware ESX架构置于一个高危害处境；为了提高基础架构的清静性，vSphere 5.0之后的版本中则接纳了自力于使用系统的新 ESXi 系统结构，并且在自己研发的焦点 VMkernel 中实现了必备的虚拟机治理功效，这也就规避了与通用操作系统相关的清静误差引发的清静危害。

事情结构.png

图3. VMware ESX/ ESXi 事情结构

VMware vCenter Server（简称vCenter Server）是vSphere的另外一个焦点组件，它是一个可以资助用户治理多个VMware虚拟化平台的软件，需要单独装置在一台服务器中。在vSphere中，用户可以将多个ESX/ESXi 主机添加到vCenter Server 治理平台中，然后通过vCenter Server治理ESX/ESXi主机和其中建设的所有虚拟机，整个事情结构如图4所示。虽然现在发明的勒索软件针对的是ESX/ESXi主机，但vCenter Server可以直接治理ESX/ESXi多台主机。若是vCenter Server保存误差被攻击者使用，那么就无疑将数台ESX/ESXi主机的大门向攻击者洞开，攻击者可以肆意在ESX/ESXi中安排勒索软件，其效果的严重性可想而知。

图4结构图.png

图4. vCenter Server 事情结构

三、针对vSphere勒索的相关运动

病毒勒索作为近年来盛行的网络攻击手段，逐渐获得黑客团伙青睐，越来越多的勒索组织泛起在公共视野，各大病毒勒索事务也逐渐占有了重大网络攻击事务的头版头条。近几年，勒索攻击事务层出不穷，对受害企业/组织造成重大工业损失，勒索病毒已经成为各政府部分、组织和企业需要面临的主要网络危害之一。自去年最先，勒索组织逐渐最先把目的延伸到VMware vSphere平台上，通过对其中ESX/ESXi服务器上的数台虚拟机系统文件举行加密从而向受害组织/企业勒索高额的赎金。去年7月，Sprite Spider勒索组织就最先对其勒索软件举行升级，使其在检测到ESXi主机后安排RansomEXX恶意程序试图窃取登录凭证向vCenter举行身份认证；同样对勒索软件举行ESX/ESXi针对性升级的尚有勒索组织carbon spider、BabukLocker、REvil和BlackMatter。自去年最先，针对VMware虚拟机的勒索病毒攻击事务也最先频发，去年11月巴西高等法院（STJ）受到大规模 RansomExx 勒索软件攻击，凌驾1000台虚拟机文件被加密，此次事务与7月份举行VMware ESX/ESXi软件升级的Sprite Spider勒索组织是否有关联，我们无从得知；不但外洋用户遭遇了针对VMware ESX/ESXi的勒索攻击，海内用户同样也遭遇了此类攻击，在今年3月，海内某公司运维职员发明公司内部VMware ESXi主机上大宗虚拟机文件被加密，我们整理的相关的事务时间线如图5。

勒索病毒针对vSphere相关事务时间线.png

图5. 勒索病毒针对vSphere相关事务时间线

从去年最先，IABs团队逐渐与勒索病毒一起进入公众的视野。IABs团队作为网络攻击地下工业的恒久活跃加入者，通过在各大论坛出售主机权限来获取利益，它们将受害者主机的root权限出售给其他网络攻击从业者，由其他网络攻击者开展下一步的攻击运动，IABs团队并不直接加入攻击，这也镌汰了它们被其他执法机构追踪的危害。在以往的勒索攻击中，我们无法确定勒索组织是否是从IABs团队手中购置受害者主机权限，勒索组织与IABs团队相助这种模式可能早已泛起，可是这种相助模式正在逐渐被各个勒索组织接纳：据新闻称，美国最大燃油管道勒索事务中的主角DarkSide在勒索美国石油管道运营商Colonial Pipeline之前就曾在地下论坛发文寻找能够让其接触到市值4亿美元公司的IABs相助，如图6，美国燃油管道勒索事务是否有IABs团队加入，我们无从考证；另外，在地下论坛中，我们也视察到有多个IABs正在追求勒索团队相助并出售vCenter/ESXi的Root权限，如图7。

图6. DarkSide追求与IABs团队相助.png

图6. DarkSide追求与IABs团队相助

勒索阻止结构.png

图7. IABs团队追求与勒索组织相助

四、针对vSphere勒索的缘故原由剖析

众多勒索组织最先将目的延伸到vSphere平台上，无非是为了加密更多更主要的数据以勒索更高额的赎金。针对vSphere平台的勒索攻击，能够使勒索组织像控制一间企业服务器的机房一样对数台服务器举行控制，攻击者对这些虚拟机的源文件举行加密，可能直接造成数据库被加密、对外提供服务中止甚至公司系统瘫痪，勒索组织往往开出更高额的赎金。云云釜底抽薪的勒索方法，让受害者企业/组织短时间难以应付，极大地增添了勒索攻击的乐成率和收益。着实，随着互联网手艺的刷新，勒索组织一直在一直寻找新的攻击目的和攻击手段，勒索组织做出 “针对vSphere平台攻击” 的这种改变并非无意，团结相关资料，我们将在本章对勒索组织的这种改变举行一个缘故原由剖析。

配景条件：随着互联网手艺的快速更新，网络用户量剧增，各个政府部分、组织和企业对盘算资源和存储资源的需求骤增；云盘算和虚拟手艺的兴起让各大云服务提供商和虚拟化手艺公司为各个政府部分、组织和企业提供了定制化资源服务和虚拟化解决计划以知足一样平常资源需求。VMware作为云服务和虚拟化领域的领头企业，其客户险些涵盖所有领域；除此之外，各大云服务提供商也为其客户提供间接的VMware虚拟化服务，从图8 “2020年服务器虚拟化市场漫衍” 中可以看出，VMware已经成为虚拟化市场的绝对霸主。针对VMware vSphere举行勒索可以拥有众多勒索工具，同时能够通过虚拟化平台vSphere控制企业/组织的大宗数字资产，极大地提高了勒索的收益和乐成率。

服务器趋势.png

图8. 2020年服务器虚拟化解决计划的营业市场漫衍（泉源：spiceworks）

手艺条件：2019年底和2020年，VMware划分宣布清静通告修复了多个产品误差，其中VMware ESXi的两个误差CVE-2019-5544和CVE-2020-3992将导致VMware ESXi服务器上的远程代码执行，VMware已经对这两个误差举行了评估，并定级为严重，CVSSv3 评分 9.8。这两个误差将影响多个版本的VMware vSphere用户，随后VMware提供修复补丁，但仍有大批客户由于种种缘故原由并未对其使用的ESX/ESXi举行补丁，这为攻击者提供了便捷的入侵VMware ESX/ESXi主机的要领和手段。

外部条件：自2020年起，IABs也将其目的扩展到了VMware vSphere平台上。对大部分勒索组织来说，与IABs相助是一项共赢的选择,由于从IABs手上购置ESX/ESXi主机权限的价钱也仅仅只是赎金的极小部分，通过这种方法，他们能够省去大宗的人力、时间、资源去获取ESX/ESXi主机的Root权限，直接通过购置的主机Root权限举行受害者主机登录，然后最先安排勒索软件举行勒索。同时，我们视察到有IABs（Initial access brokers）最先在地下黑客论坛上以250美金到500美金之间价钱出售ESX/ESXi的Root权限，并展示出更多关于受害主机的信息来吸引客户购置，好比地区信息、权限信息、CPU信息、硬盘信息等，如图9所示，海内某用户的VMware ESX主机的Root权限在地下黑客论坛被出售。

IABs在地下论坛上售卖ESX权限.png

图9. IABs在地下论坛上售卖ESX权限

五、针对vSphere的勒索样天职析

自去年最先，各大勒索组织最先宣布针对VMware vSphere虚拟平台版本的勒索程序，已经有多家企业/组织遭到攻击并且损失惨重。在本小节中，我们将以ADLab对勒索家族的一连研究为基础，团结部分外洋清静厂商对此类攻击运动的披露来对部分勒索组织的样本举行剖析，同时团结现实攻击案例对此类攻击的攻击流程举行了总结。如图10，在现实场景中，ESX/ESXi主机上会安排多台虚拟机对通俗用户提供基本服务，若是设置不当，通俗用户能通过网络能会见ESX/ESXi主机，这就会给黑客提供可乘之机；通常情形下，黑客首先会在地下论坛中追求指定版本的ESX/ESXi误差使用程序或root登录权限，当获取到误差使用程序或root登录权限后，黑客就能直接入侵ESX/ESXi主机并且在其中安排勒索软件对其中的虚拟机举行加密并勒索赎金。从图中可以看出，若是勒索攻击工具是云服务提供商/虚拟服务提供商的ESX/ESXi主机，那么该提供商的众多客户都将受到影响，大面积的企业用户主机将遭到勒索病毒熏染，这将带来与今年美国IT治理软件制造商Kaseya遭到的供应链式勒索攻击相似的效果，而Kaseya的勒索攻击已经熏染了凌驾100万个系统，凌驾1500家企业受到影响。

针对vSphere虚拟平台的勒索攻击场景.png

图10. 针对vSphere虚拟平台的勒索攻击场景

接下来，我们将对部分勒索组织的样本举行详细手艺剖析，通过横向比对，可以总结出这些针对VMware vSphere虚拟平台勒索程序的执行特点：通常情形下，勒索软件首先会使用ESX/ESXi的esxcli指令查找虚拟机历程；然后，恶意程序会使用esxcli指令关闭虚拟机，这一步通常是为了避免对虚拟机文件举行加密时对虚拟机原文件造成破损，从而导秩蚊失败；接下来，恶意程序将在指定路径下举行虚拟机相关文件搜索（通常包括虚拟机虚拟磁盘文件vmdk、虚拟机虚拟内存文件vmem、虚拟机页交流文件vswp，日志文件log、虚拟机快照文件vmsn等）；最后，恶意程序将对搜索到的虚拟机相关文件举行加密，同时见告受害者缴纳赎金。

5.1 DarkSide

DarkSide勒索软件最早于2020年8月被发明，是一支非�；钤镜男滦死账魍呕�。DarkSide组织自2020年8月最先频仍运动，并在今年5月攻击了美国最大的燃油管道公司Colonial Pipeline，导致美国东部沿海主要都会运送油气的管道系统被迫下线，17个州和首都所在的华盛顿特区宣布进入紧迫状态，引起了重大的惊动和全球的关注。最终，Colonial Pipeline支付了近75比特币（约合近500万美元）才使数据得以恢复，运输事情正常运行。同时我们也发明，DarkSide在去年就已经具备攻击ESXi的功效。

样本手艺剖析

为了更好地加密虚拟机，DarkSide使用了许多ESXi上独吞的esxcli下令，如在加密虚拟机前会使用esxcli下令来遍历出ESXi上正在运行的虚拟机。

DarkSide使用esxcli下令强制关闭正在运行的虚拟机.png

除了以上下令，在DarkSide还用了许多esxcli下令，详细如下表所示：

加密路径.png

DarkSide通过遍历文件，并且判断文件后缀是否为vmdk（虚拟机虚拟磁盘文件），vmem（虚拟机虚拟内存文文件），vswp（虚拟机页交流文件），log（日志文件），vmsn（虚拟机快照文件）来决议是否举行加密，加密乐成后会在原文件后缀后加入darkside。

文件巨细判断.png

最后，DarkSide会留下勒索信忠言受害者，并且在信中留下还原数据的方法以及交赎金的地点

勒索信.png

5.2 REvil

REvil也被称为Sodinokibi，是一个污名昭著的勒索团伙，其攻击最早可以追溯到2019年4月。该勒索团伙作案频仍，并曾攻击过多个大型公司如美国领先的视频传输提供商SeaChange International、著名硬件和电子公司宏基公司、全球再生能源巨擘Invenergy公司、全球最大肉类供应商JBS公司。而在今年7月美国远程IT治理软件厂商Kaseya也遭受到了REvil的攻击，导致全球凌驾10000家的Kaseya客户，其中包括50%以上的全球100强IT治理服务提供商及各大龙头受到勒索攻击的危害。据称此次攻击是REvil有史以来规模最大的一次攻击，据其官网宣称，他们已经锁定了凌驾100万个系统，并向Kaseya索取70000000美元的赎金。而在今年5月，我们视察到REvil运营商在地下黑客论坛上宣布了针对Vmware ESXi的Linux版本。

样本手艺剖析

为了阻止虚拟机相关的文件受到不须要的损坏，REvil在加密前也同样会先关闭ESXi上正在运行的虚拟机，但与DarkSide差别的是REvil先使用pkill -9的下令关闭与虚拟机相关的历程。

下令关闭.png

然后REvil使用excli下令遍历出所有正在运行的ESXi虚拟机并且关闭它们，使用此下令会关闭存储在 /vmmfs/ 文件夹中的虚拟机磁盘 (VMDK) 文件，避免REvil对这些文件举行加密时由于被 ESXi 锁定而导秩蚊失败。

下令关闭机械.png

与其他针对ESXi的勒索软件差别的是，REvil不会对虚拟机文件的后缀举行判断，而是对加密路径下所有的文件都举行加密，并判断该文件是否已经被加密了和是否具有RWX权限或者RW权限（若是具有这些权限，则这些文件是被系统�；さ模├淳鲆槭欠窬傩屑用�。

加密文件历程.png

最后，REvil留下勒索信忠言受害者并且在信中留下还原数据的方法以及交赎金的地点。

图20. REvil的勒索信.png

图20. REvil的勒索信

5.3 HelloKitty

HelloKitty勒索软件攻击运动最早可以追溯到2020年，主要针对Windows系统。其在2021年2月攻击了CD Projekt Red公司并声称窃取了该公司出品的“Cyberpunk 2077”、“Witcher 3”、“Gwent ”和其他游戏的源代码。而在今年7月，我们视察到该木马的Linux变体最先针对Vmware ESXi举行攻击。其中，被攻击的目的包括意大利和荷兰的制药公司、一家德国制造商、一家澳大利亚提供工业自动化解决计划的公司以及美国一家医疗办公室和股票经纪人。在赎金方面，攻击者会因攻击目的公司的规模差别，而要求支付差别金额的赎金，其勒索的赎金最高可达1000万美金。

样本手艺剖析

HelloKitty勒索软件首先会使用esxcli下令来遍历出目今受熏染机械上正在运行的虚拟机历程，并实验关闭这些虚拟机。为了阻止虚拟机相关的文件遭到不须要的损坏，该病毒在加密文件前会先将虚拟机关闭。

该勒索软件首次关闭虚拟机，会使用软终止来竣事该历程。

下令：esxcli vm process kill -t=soft -w=%d

若是仍有虚拟机正在运行，该病毒将会使用硬终止来竣事该历程。

下令：esxcli vm process kill -t=hard -w=%d

若是尚有虚拟机未被关闭，则会使用强制终止来竣事该历程。

下令符.png

赎金文本.png

5.4 BlackMatter

2021年7月，一个名为BlackMatter的新勒索软件组织正在购置企业网络的会见权限，同时声称其项目已将REvil和DarkSide的最佳功效融入其中。BlackMatter还体现，他们的勒索软件适用于多种差别的操作系统版本和架构，并以多种名堂提供。包括支持清静模式的Windows变体（Windows Server2003+x86/x64和Windows7+x86/x64）和支持NAS的Linux变体（ESXI5+、Ubuntu、Debian和CenOs），且这些变体在相同系统上均已测试乐成。

样本手艺剖析

BlackMatter在ESXI服务器上运行时，其首先使用esxcli下令列出所有正在运行的VMware虚拟机。

虚拟机.png

接着，BlackMatter会获取目今系统所有正在运行的历程，并将这些历程强制竣事。

设置文件.png

加密文件后缀.png

勒索文本.png

六、总结与建议

针对虚拟化平台VMware vSphere的勒索攻击成为勒索组织的新型攻击偏向，本文从多个角度对此类攻击举行了综合剖析。针对虚拟化平台VMware vSphere的勒索攻击可能会越发频仍：首先，攻击者对虚拟机治理平台的ESX/ESXi主机举行熏染后可以对其中的数台虚拟机源文件举行加密，将直接影响受害企业/组织的多台应用服务器/数据库，这种方法控制了越发主要企业/组织的数字资产，能够勒索更高额的赎金并且大大提高乐成率，这正是勒索组织的焦点目的；其次，越来越多的黑客将目的转向了VMware vSphere，相关的清静误差一再被发明，但许多客户由于种种缘故原由限制并未能实时补丁，这也为勒索组织入侵到企业的ESX/ESXi主机提供了便当；另外，IABs团队在地下论坛中针对VMware vSphere的运动也越加频仍，同时它们也在起劲追求与勒索组织举行相助，IABs团队能够提供专业ESX/ESXi主机的入侵服务，它与勒索组织的相助将会把针对vSphere的勒索攻击推上新一轮的热潮。

可以看出，随着互联网手艺的一直刷新和市场的转变，勒索组织也在一直扩展它们的攻击偏向和追求更有用的攻击手法，以便在勒索攻击中获取更高额的赎金同时大幅提高勒索的乐成率。VMware vSphere只是众多虚拟化平台的其中一个，只是由于它的市场重大，成为了攻击者的首选目的；随着时间的推移，其他虚拟化平台如：Microsoft、Oracle和Red Hat等很可能会成为攻击者的新目的，各大企业/组织应当注重提前做好针对性防御。针对vSphere虚拟平台的勒索攻击将对受害者企业带来难以估量的损失，我们将团结本文的剖析和相关资料向vSphere用户提出下面几条针对性防御建议：

建议使用 TPM 2.0 芯片举行vSphere举行清静设置。

在物理服务器上启用UEFI清静启动功效，通过确保在指导中加载的所有代码都经由数字署名且未被改动，从而增强操作系统的清静性。

榨取在ESX/ESXi主机上执行自界说代码，包管ESX/ESXi主机拒绝执行任何未通过认证相助同伴署名的 VIB 包装置的代码。

当vSphere平台相关的产品保存清静补丁宣布时，起劲加入系统及相关的虚拟化平台组件（vCenter服务器、ESX/ESXi主机、VMware工具等）的更新。

对虚拟机平台的治理账户使用高强度密码。

在内部网络中举行网络区域划分，将对外服务的主机和仅内部会见的主机举行脱离治理，并且为虚拟平台治理员提供专用的vCenter服务器和ESX/ESXi治理接口以及专用的事情站。

设置集中式的纪录日志，避免治理系统设置和情形遭到改动。

尽可能高频率地举行系统备份，以便在遭到勒索攻击后能尽快地实现系统恢复。

上一篇下一篇

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号