热门关键词: 信息安全 云计算 弱電(diàn)工程 机房建设 IT基础架构
日期:2023-02-10 阅读数:833
2年前的老漏洞重现“江湖(hú)”
还带来了全球大规模的勒索攻击?!
人心惶惶如何防?看这篇就够了!
近日,深信服千里目安全技术中心在运营工作中发现了一种新(xīn)的勒索软件ESXiArgs,该勒索软件于今年2月开始大规模出现。截至2月8日凌晨,基于censys统计数据,全球已受影响服務(wù)器有(yǒu) 2453 台,國(guó)内已受影响服務(wù)器数十台左右。多(duō)國(guó)网络安全组织机构已对此发出警告。
VMware ESXi 是 VMware 开放的服務(wù)器资源整合平台,可(kě)实现用(yòng)较少的硬件集中管理(lǐ)多(duō)台服務(wù)器,并提升服務(wù)器性能(néng)和安全性,大规模应用(yòng)于國(guó)内全行业的虚拟化平台建设,可(kě)直接访问并控制底层资源。
据分(fēn)析,攻击者利用(yòng)2年前发现的(已发布补丁,但客户侧未经修补) RCE 漏洞 CVE-2021-21974 将恶意文(wén)件传输至 ESXi 导致 OpenSLP 服務(wù)中的堆溢出,从而获得交互式访问,借以部署新(xīn)的 ESXiArgs 勒索病毒。
【详细分(fēn)析文(wén)章请点击:《ESXiArgs 勒索软件攻击之 VMware ESXi 服務(wù)器下的“天幕杀机”》】
國(guó)内存在该漏洞影响的服務(wù)器数量如下所示(基于shodan统计数据):
攻击者加密后,会导致关键数据被损坏,虚拟机 (VM)处于关闭、无法连接状态,可(kě)能(néng)造成用(yòng)户生产环境停線(xiàn)的严重后果;除了面临部分(fēn)业務(wù)被中断,被攻击者还面临着2比特币左右的勒索赎金,给正常工作带来了极為(wèi)严重的影响。
我中招了吗?
风险排查、紧急加固及处置建议
勒索风险自查
步骤一:检查/store/packages/目录下是否存在vmtools.py后门文(wén)件。如果存在,建议立即删除该文(wén)件。
步骤二:检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文(wén)件,如果存在,应及时删除。
勒索处置建议
步骤一:立即隔离受感染的服務(wù)器,进行断网;
步骤二:使用(yòng)数据恢复工具恢复数据或重装ESXi
美國(guó)CISA发布了 ESXiArgs 勒索软件恢复脚本,相关链接如下:
https://github.com/cisagov/ESXiArgs-Recover
步骤三:重复“勒索风险自查”步骤;
步骤四:恢复修改后的部分(fēn)文(wén)件
(1)查看/usr/lib/vmware目录下的index.html文(wén)件是否為(wèi)勒索信,如果是,立即删除该文(wén)件。
(2)查看/etc/目录下是否存在motd文(wén)件,如果存在,立即删除。
漏洞自查
根据外部情报调查显示,该勒索攻击利用(yòng)ESXI的未修补漏洞CVE-2021-21974进行勒索病毒投放,并且VMware厂商(shāng)表示并没有(yǒu)证据表明该勒索攻击使用(yòng)了0day。因而可(kě)以针对该漏洞进行预防。
(1)查看ESXi的版本
方式1:登陆EXSi后台,点击帮助-关于,即可(kě)获取版本号。
方式2:访问EXSi终端,输入“vmware -vl”命令即可(kě)获取版本号。
(2)查看OpenSLP服務(wù)是否开启
访问EXSi终端,输入“chkconfig --list | grep slpd”命令即可(kě)查看OpenSLP服務(wù)是否开启。输出“slpd on”為(wèi)开启,输出“slpd off”则代表未开启。
若ESXi版本在漏洞影响范围内,且OpenSLP服務(wù)开启,则可(kě)能(néng)受此漏洞影响。
漏洞加固
加固方案1:升级ESXi至如下版本
ESXi7.0 版本:升级到 ESXi70U1c-17325551 版本及以上
ESXi6.7 版本:升级到 ESXi670-202102401-SG 版本及以上
ESXi6.5 版本:升级到 ESXi650-202102101-SG 版本及以上
加固方案2:在ESXi中禁用(yòng)OpenSLP服務(wù)
禁用(yòng)OpenSLP属于临时解决方案,该临时解决方案存在一定风险,建议用(yòng)户可(kě)根据业務(wù)系统特性审慎选择采用(yòng)临时解决方案:
1、使用(yòng)以下命令在 ESXi 主机上停止SLP 服務(wù):
/etc/init.d/slpd stop
2、运行以下命令以禁用(yòng) SLP 服務(wù)且重启系统后生效:
esxcli network firewall ruleset set -r CIMSLP -e 0
chkconfig slpd off
3、运行此命令检查禁用(yòng) SLP 服務(wù)成功:
chkconfig --list | grep slpd
若输出slpd off 则禁用(yòng)成功
停止SLP服務(wù)后,运行攻击脚本发现427端口已经关闭,漏洞无法进行利用(yòng)。
突发事件怎么防?
云网端常态化安全防护思路
本次事件是由于老漏洞被利用(yòng)而引发的大规模勒索攻击事件。面对这一类突发事件,深信服提供了一套長(cháng)效治理(lǐ)的整體(tǐ)解决方案。
云网端安全托管方案
勒索入侵的方式多(duō)种多(duō)样,最终会攻陷服務(wù)器或PC终端,因此要想实现更加可(kě)靠的拦截,必须在云网端做到全方位保障。
深信服云网端安全托管方案“见招拆招”,在终端和网络针对勒索病毒复杂的入侵步骤打造了全生命周期防护,构建勒索风险有(yǒu)效预防、持续监测、高效处置的勒索病毒防御體(tǐ)系。
在云端,依托于安全托管服務(wù)MSS,云端安全专家7*24小(xiǎo)时监测分(fēn)析,定期将最新(xīn)漏洞态势、全球勒索攻击趋势、行业运营经验等赋能(néng)本地终端和网络安全设备,并总结攻击态势和防护结果,形成可(kě)视化报表,提升安全效果和价值呈现。同时提供勒索理(lǐ)赔服務(wù),為(wèi)勒索防护兜底。
云网端安全托管方案针对勒索攻击,常态化构建整體(tǐ)防护體(tǐ)系,降低处置运维成本,致力于让用(yòng)户的安全體(tǐ)验领先一步,安全效果领跑一路。
下一代防火墙AF
本次攻击是日益猖獗的勒索攻击对nday漏洞的利用(yòng),根据深信服勒索病毒态势分(fēn)析报告,有(yǒu)22.9%的勒索事件入侵是通过高危应用(yòng)漏洞攻击,漏洞的威力不容小(xiǎo)觑。因此对漏洞攻击的精准有(yǒu)效拦截是打造网络安全體(tǐ)系的“强大底座”。
深信服下一代防火墙具备丰富的威胁智能(néng)检测引擎,包括IPS泛化检测引擎、Web防护WISE语义引擎等,且拥有(yǒu)全面的Web攻击防御功能(néng)(支持13种主流Web攻击类型),从而使产品整體(tǐ)安全漏洞攻击拦截率达到99.7%,漏洞检测效果获得全球厂商(shāng)最高评分(fēn),并成為(wèi)國(guó)内唯一以最高攻击拦截率通过CyberRatings AAA认证的防火墙产品。
此外,深信服下一代防火墙还搭载了全新(xīn)人机识别技术Antibot,开启后对访问请求进行主动验证,通过漏洞扫描防护和防口令爆破,从源头上防御勒索入侵问题。
同时,深信服AF可(kě)实现安全事件分(fēn)钟级告警、一键处置,通过云图平台,采用(yòng)微信即时通讯方式,在发送安全事件后第一时间通知安全运营人员,一键阻断攻击者后续入侵,提升安全响应效率。
终端安全管理(lǐ)系统EDR
作為(wèi)勒索攻击的最后一道防線(xiàn),终端安全产品的重要性不言而喻。
在端点侧,深信服终端安全管理(lǐ)系统EDR通过一套平台架构面向PC、服務(wù)器,提供基于勒索病毒攻击链為(wèi)终端构建涵盖“预防-防护-检测响应”的4-6-5多(duō)层次立體(tǐ)防御。包括勒索诱捕、微隔离、轻补丁漏洞免疫、RDP爆破防护,二次登陆防护等等。
基于國(guó)际知名攻击行為(wèi)知识库 ATT&CK矩阵,深信服EDR对终端系统层、应用(yòng)层的行為(wèi)数据进行采集,覆盖 163 项技术面,贴合实际攻击场景,综合研判更加精准,并通过國(guó)际知名测评机构赛可(kě)达实验室的能(néng)力认证。
通过IOA+IOC 技术融合,EDR能(néng)够将端侧采集的行為(wèi)数据结合业務(wù)环境关联分(fēn)析,重现威胁入侵事件场景,从场景层面抽丝剥茧,提升研判精准度。
云端安全专家团队结合数据自动化聚合,对端侧上报的海量数据进行分(fēn)析,研判安全事件,精准定位威胁根因,快速响应。