ESXiArgs 勒索軟體攻擊:風險與資料保護
通常,勒索軟體會攻擊運行 Windows 的實體電腦和虛擬機器,較少攻擊 macOS 和 Linux。不幸的是,網路犯罪分子持續開發新版勒索軟體,利用新發現的漏洞感染其他作業系統。最近的一個例子是 ESXi 勒索軟體攻擊,該攻擊利用 ESXi 漏洞,鎖定了 VMware 虛擬化平台, 導致全球各地的企業面臨嚴重的停機時間.
這篇部落格文章說明了勒索軟體攻擊有多危險、勒索軟體如何感染 ESXi 主機,以及如何防範勒索軟體(包括防範 ESXi Args 勒索軟體)。
ESXi 勒索軟體攻擊行動的開端
首批 ESXi 勒索軟體攻擊案例出現在 2022 年 10 月,當時 VMware 已終止對 ESXi 6.5 和 6.7 的常規支援。A 大量 ESXi 主機 在法國、德國、美國、加拿大、英國及其他國家均有感染案例。2023年2月,已有超過3,000台ESXi主機遭到感染,其資料遭加密且無還原途徑。 攻擊 ESXi 主機的勒索軟體名稱包括 ESXiArgs、Royal 及 Cl0p。此外,還出現了新的 ESXi 勒索軟體家族,例如 RansomEXX、Lockbit、BlackBasta、Cheerscrypt、Hive、RedAlert/N13V 等。
ESXi 主機之所以對攻擊者極具吸引力,是因為 伺服器虛擬化 隨著虛擬化技術日益普及,許多組織已將虛擬機器應用於生產環境中。因此,勒索軟體開發者開始專注於發動針對 VMware ESXi 的勒索軟體攻擊,企圖藉此獲取巨額利潤。只要感染一台 ESXi 主機,攻擊者便能加密或破壞該主機上多個虛擬機器的資料。相較於感染可能運行不同作業系統的虛擬機器,這種做法往往更具成效。 ESXi Args 勒索軟體攻擊是針對非 Windows 伺服器所發動的最大規模勒索軟體攻擊之一。
哪些 ESXi 版本容易受到 ESXi 勒索軟體的攻擊?
ESXi 勒索軟體利用了多種漏洞,包括 CVE-2022-31699、CVE-2021-21995、CVE-2021-21974、CVE-2020-3992 以及 CVE-2019-5544。
ESXi Args 勒索軟體利用 CVE-2021-21974 感染 ESXi 主機。此漏洞於 2021 年被發現,可能發生在尚未修補或未更新的 ESXi 主機上。這是運行於 ESXi 上的 OpenSLP 服務中的一項堆疊溢位漏洞。 針對 CVE-2021-21974 的修補程式已於 2021 年 2 月 21 日發布。
以下 ESXi 版本易受 CVE-2021-21974 影響:
- ESXi 7.x(ESXi70U1c-17325551 之前的版本)
- ESXi 6.7.x(ESXi670-202102401-SG 之前版本)
- ESXi 6.5.x(ESXi650-202102101-SG 之前的版本)
為何會有如此多未修補的伺服器,且這些伺服器為何能從網際網路存取?修補程式需要讓 ESXi 伺服器暫停運作,而當主機數量龐大時,部分管理員可能缺乏資源或時間來及時進行修補。此外,在 ESXi Args 勒索軟體攻擊發生之前,ESXi 漏洞並未被廣泛利用。這讓人產生一種錯覺,以為未修補的 ESXi 伺服器並不構成威脅,導致伺服器的修補進度緩慢。
託管服務供應商公司內運行的 ESXi 伺服器也遭到 ESXi Args 勒索軟體感染。託管服務供應商為客戶提供基礎架構,客戶則安裝 ESXi 虛擬化平台來運行虛擬機器。這些 ESXi 伺服器因客戶將其對外公開而暴露於網際網路,使攻擊者得以存取。攻擊者要求受害者支付約 23,000 美元的比特幣贖金。
ESXi 勒索軟體是如何運作的?
網路犯罪分子會尋找存在漏洞的 ESXi 主機,尤其是那些直接連接到網際網路的主機。經確認,此入侵手法是利用了 OpenSLP 的漏洞,該漏洞可能是 CVE-2021-21974。OpenSLP 使用 427 號埠(TCP/UDP)。日誌顯示涉及的 dcui 使用者在此入侵過程中。此 ESXi 勒索軟體漏洞允許攻擊者遠端執行任意程式碼。
加密過程會使用惡意軟體部署的公開金鑰,該金鑰的位置為 /tmp/public.pem. 具體而言,此加密程序針對的是虛擬機器檔案,包括".vmdk"、".vmx"、".vmxf"、".vmsd"、".vmsn"、".vswp"、".vmss"、".nvram"等檔案類型,以及副檔名為".vmem"的檔案。請注意,.vmdk” 檔案是一個虛擬磁碟描述檔,而 “-flat.vmdk” 是一個 虛擬磁碟檔 包含虛擬機器資料。ESXi Args 勒索軟體會建立一個".args” 檔案,其中包含每個加密檔案的元資料(很可能,勒索軟體製作者假設 “.args(解密時可能需要這些檔案)。
以下是詳細步驟:
- 當伺服器遭到入侵時,以下檔案會被放置在 /tmp 目錄:
- 加密 代表以 ELF 格式儲存的可執行加密程式。
- encrypt.sh 此處作為攻擊的運作邏輯。這是一個 shell 腳本,會在執行加密程式之前執行各項操作,具體內容如下所述。
- public.pem 是一個公開的 RSA 金鑰,用於加密負責檔案加密的金鑰。
- 每日一貼 是一份文字贖金字條,其內容複製到 /etc/motd,確保登入時會顯示該頁面。伺服器上的原始檔案將保留為 /etc/motd1.
- index.html 這是贖金通知的 HTML 版本,旨在取代 VMware ESXi 的首頁。應將原始伺服器檔案備份為"index1.html“位於同一目錄中。
- 加密程式是透過一個 shell 腳本啟動的,該腳本會傳入一組命令列參數來呼叫它。這些參數包含 RSA 公鑰檔案、待加密的目標檔案、需保持不變的資料區段、加密區塊大小,以及檔案的總大小。
用法: 加密 <公開金鑰> <待加密檔案> [<enc_step>] [<enc_size>] [<檔案大小>]
地點:
- enc_step 是加密檔案時要跳過的 MB 數
- enc_size 是加密區塊中的 MB 數
- 檔案大小 是檔案大小(以位元組為單位)(適用於稀疏檔案)
- 此加密器的啟動是透過 encrypt.sh Shell 腳本,此腳本是攻擊的底層邏輯。啟動後,該腳本會執行以下動作,簡要說明如下。
- ESXi 勒索軟體腳本會執行一項命令,用以修改 ESXi 虛擬機器的設定檔 (.vmx) 透過將所有出現的"."替換為vmdk” 和 “。vswp” 替換為 “1.vmdk” 和 “1.vswp"",分別為。
- 隨後,勒索軟體腳本會透過發出"kill -9” 命令,用以終止包含字詞 ” 的程序vmx“.
- 該勒索軟體會嘗試透過終止 VMX 程序來關閉虛擬機器,藉此發布被鎖定的檔案並對其進行修改。然而,此功能並未始終如預期般運作,導致部分檔案仍處於鎖定狀態。在 VM 檔案被修改後,虛擬機器便無法再使用。
- 腳本接著使用以下指令擷取 ESXi 卷宗清單:
esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F' ' '{print $2}透過此指令,勒索軟體會掃描這些磁碟區,尋找具有特定檔案副檔名的檔案。
- 對於每個發現的檔案,該腳本會產生一個對應的 [file_name].args 位於同一目錄中的檔案。這 .args 該檔案包含計算出的參數,包括步長(通常為"1")和檔案大小。例如,如果檔案是"VM01.vmx"",以及相關的"VM01.vmx.args” 檔案被建立。該惡意軟體會產生一個名為 “argsfile” 的檔案,用以儲存傳遞給加密二進位檔的參數,其中包含諸如需跳過的兆位元組數、加密區塊大小以及檔案大小等資訊。
- 該腳本接著採用"加密” 可執行檔,根據計算出的參數來加密檔案。
- 加密完成後,該腳本會將 ESXi 的 “index.html” 檔案以及伺服器的 “每日一貼"如前所述,該檔案內含前述的勒索訊息。"
目前沒有證據顯示資料曾被傳輸至外部(資料外洩)。在某些情況下,檔案的加密可能僅部分成功,這使得受害者可能能夠恢復部分資料。
當感染及資料篡改/加密程序成功完成後,HTML 頁面便會顯示類似以下的勒索軟體訊息:
“安全警報!我們已成功駭入貴公司。
…
請於 3 天內匯款,否則我們將公開部分資料並提高價格.”
- 隨後,該腳本會執行清理任務,包括刪除日誌以及移除位於 /store/packages/vmtools.py. 它還會從特定檔案中刪除某些行:
- /bin/hostd-probe.sh
- /var/spool/cron/crontabs/root
- /etc/rc.local.d/local.sh
- /etc/vmware/rhttpproxy/endpoints.conf
已發布一則重要通知,敦促管理員檢查是否"vmtools.py” 檔案存在於 ESXi 主機上。若發現此檔案,建議立即刪除。
- 最後,該腳本執行"/sbin/auto-backup.sh“以更新儲存於”中的設定/bootbank/state.tgz” 檔案並啟用 SSH。
此外,有證據顯示,除了 ESXiArgs 之外,其他勒索軟體集團也正在積極利用此漏洞,以及 ESXi 中的其他漏洞。
註: VMware ESXi 勒索軟體的行為可能會隨著勒索軟體的更新版本及新版本的發布而有所變化。
如何在 ESXi Args 勒索軟體攻擊後恢復資料
加密機制中並無任何漏洞,可讓您解密已加密的檔案。不過,美國網路安全與基礎設施安全局(CISA)已開發出一套腳本,可協助恢復虛擬機器。值得慶幸的是,虛擬機器檔案(包括虛擬磁碟描述檔 (.vmdk),雖然已加密,但 -flat.vmdk 檔案(存放虛擬機器資料之處)則未受影響。這使得虛擬機器的還原成為可能。
CISA 已推出一款還原腳本,旨在協助受 ESXi Args 勒索軟體影響的組織。此勒索軟體專門鎖定 ESXi 伺服器,加密其設定檔,並可能導致虛擬機器 (VM) 無法運作。雖然此工具是與 VMware 共同開發的,但 VMware 並未直接提供支援。若客戶在使用此工具時遇到任何問題,建議透過以下 GitHub 連結回報問題: https://github.com/cisagov/ESXiArgs-Recover/issues.
CISA 致力於迅速處理並解決各項疑慮。有關使用此腳本的更多詳細資訊,請參閱 此連結.
您也可以 下載 PDF 文件 附有操作說明。
若您發現 ESXi 主機出現遭 ESXi 勒索軟體感染的跡象,請考慮採取以下措施:
- 將受感染的 ESXi 主機從網路中斷開。
- 請勿支付贖金。支付贖金等同於獎勵網路犯罪分子,並促使他們開發更多勒索軟體以獲取更多金錢。即使支付贖金,也無法保證遭 VMware ESXi 勒索軟體感染的檔案能夠恢復。
- 通報勒索軟體攻擊。通報勒索軟體攻擊至關重要,因為這有助於快速應對、符合法規、保護資料、維護信任、減輕威脅,以及共同防禦網路攻擊。通報勒索軟體攻擊是網路安全事件管理的重要環節。這不僅有助於個別組織從攻擊中恢復,更有助於提升數位生態系統的整體安全性和韌性。
- 請確認目前版本的勒索軟體是否有可用的還原或解密工具。
- 如果沒有解密工具, 從備份中還原資料 (您必須在遭受勒索軟體攻擊前已建立備份,才能使用此方法)。有時從備份中還原虛擬機器可能更為有效。請考慮 全新安裝的 ESXi 並將已恢復的虛擬機器複製到該全新的 ESXi 主機上,以確保放置已恢復虛擬機的主機上沒有任何勒索軟體感染的殘留。
如何保護 ESXi 免受勒索軟體侵害
請遵循以下建議,以保護 ESXi 免受勒索軟體的侵害:
- 請為存在 CVE-2021-21974、CVE-2022-31699、CVE-2021-21995、CVE-2020-3992 及 CVE-2019-5544 等漏洞的 ESXi 主機套用修補程式。 若您的 ESXi 版本已不再受支援,請考慮更新至受支援的主版本。若無法更新 ESXi, 停用 OpenSLP 在 ESXi 上停用 (Service Location Protocol) 服務。停用受影響 ESXi 版本中存在漏洞的服務,同樣有助於解決問題。
- 安裝安全性修補程式 請定期在 ESXi 主機上執行更新,以防範最新威脅。
- 請勿將 ESXi 主機直接連接到網際網路。若工作流程有需求讓員工和合作夥伴能透過網際網路存取 ESXi 主機,請設定 VPN 伺服器和防火牆。請將防火牆設定為僅允許來自可信 IP 位址的存取。在此情況下,透過 VPN 連線至網路以存取 ESXi 主機是安全的。
- 若無需使用 SSH 存取,請停用該功能或設定超時設定。
- 請停用 SMB v1.0 及其他舊版本協定,尤其是當這些協定未被使用時。
- 對網路進行分段,包括 ESXi 管理網路.
- 請使用至少 8 個字元的強密碼,並包含小寫字母、大寫字母、數字及特殊字元。
- 安裝與設定 基礎設施監控 以監控網路流量與伺服器負載。透過監控,您能及時偵測可疑或惡意活動。
- 向使用者宣導勒索軟體防護相關知識,並確保使用者清楚了解,若懷疑發生勒索軟體攻擊或攻擊企圖時應採取的應對措施。
- 設定 反惡意軟體email防護 因為透過email傳送惡意連結或檔案,是讓電腦感染勒索軟體的常見手法。請停用email中的動態超連結。
- 在用戶的電腦和伺服器上安裝防毒軟體。定期更新防毒軟體的病毒資料庫。
- 請定期備份您的虛擬機器,並使用 3-2-1 備份策略. 別忘了準備一份 不可變備份 或採用空間隔離的備份方案,以確保在遭遇勒索軟體攻擊時,此備份不會受到影響。擁有 ESXi 備份 以及 vCenter 備份 在恢復資料和工作負載時,這有助於節省時間。
- 準備一份 事件應變計畫 並讓大家知道,若遭遇 ESXi 勒索軟體攻擊時該如何應對。
- 建立一個 災難還原計畫 以確保您能在各種情境下恢復資料並重建工作負載。備份測試與 災難還原測試 很重要。
結論
ESXi 勒索軟體可能造成毀滅性影響,因為即使只有一台 ESXi 主機遭到感染,您也可能損失許多虛擬機器。資料備份是避免在遭遇勒索軟體攻擊時發生資料遺失的最有效策略。請遵循本文前面所述的建議,以保護 ESXi 免受勒索軟體侵害。使用 NAKIVO Backup & Replication 將位於 VMware ESXi 主機上的虛擬機器備份至不可變儲存庫。如此一來,您便可利用這些抗勒索軟體的備份,快速還原完整的虛擬機器或應用程式資料。
