2年前的老漏洞重現(xiàn)“江湖”

還帶來(lái)了全球大規(guī)模的勒索攻擊？！

人心惶惶如何防？看這篇就夠了！

近日，深信服千里目安全技術(shù)中心在運(yùn)營(yíng)工作中發(fā)現(xiàn)了一種新的勒索軟件ESXiArgs，該勒索軟件于今年2月開始大規(guī)模出現(xiàn)。截至2月8日凌晨，基于censys統(tǒng)計(jì)數(shù)據(jù)，全球已受影響服務(wù)器有 2453 臺(tái)，國(guó)內(nèi)已受影響服務(wù)器數(shù)十臺(tái)左右。多國(guó)網(wǎng)絡(luò)安全組織機(jī)構(gòu)已對(duì)此發(fā)出警告。

VMware ESXi 是 VMware 開放的服務(wù)器資源整合平臺(tái)，可實(shí)現(xiàn)用較少的硬件集中管理多臺(tái)服務(wù)器，并提升服務(wù)器性能和安全性，大規(guī)模應(yīng)用于國(guó)內(nèi)全行業(yè)的虛擬化平臺(tái)建設(shè)，可直接訪問(wèn)并控制底層資源。

據(jù)分析，攻擊者利用2年前發(fā)現(xiàn)的（已發(fā)布補(bǔ)丁，但客戶側(cè)未經(jīng)修補(bǔ)） RCE 漏洞 CVE-2021-21974 將惡意文件傳輸至 ESXi 導(dǎo)致 OpenSLP 服務(wù)中的堆溢出，從而獲得交互式訪問(wèn)，借以部署新的 ESXiArgs 勒索病毒。

【詳細(xì)分析文章請(qǐng)點(diǎn)擊：《ESXiArgs 勒索軟件攻擊之 VMware ESXi 服務(wù)器下的“天幕殺機(jī)”》】

國(guó)內(nèi)存在該漏洞影響的服務(wù)器數(shù)量如下所示（基于shodan統(tǒng)計(jì)數(shù)據(jù)）：

勒索風(fēng)險(xiǎn)自查

步驟一：檢查/store/packages/目錄下是否存在vmtools.py后門文件。如果存在，建議立即刪除該文件。

步驟二：檢查/tmp/目錄下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件，如果存在，應(yīng)及時(shí)刪除。

步驟一：立即隔離受感染的服務(wù)器，進(jìn)行斷網(wǎng)；

步驟二：使用數(shù)據(jù)恢復(fù)工具恢復(fù)數(shù)據(jù)或重裝ESXi

美國(guó)CISA發(fā)布了 ESXiArgs 勒索軟件恢復(fù)腳本，相關(guān)鏈接如下：

https://github.com/cisagov/ESXiArgs-Recover

步驟三：重復(fù)“勒索風(fēng)險(xiǎn)自查”步驟；

步驟四：恢復(fù)修改后的部分文件

（1）查看/usr/lib/vmware目錄下的index.html文件是否為勒索信，如果是，立即刪除該文件。

（2）查看/etc/目錄下是否存在motd文件，如果存在，立即刪除。

根據(jù)外部情報(bào)調(diào)查顯示，該勒索攻擊利用ESXI的未修補(bǔ)漏洞CVE-2021-21974進(jìn)行勒索病毒投放，并且VMware廠商表示并沒(méi)有證據(jù)表明該勒索攻擊使用了0day。因而可以針對(duì)該漏洞進(jìn)行預(yù)防。

（1）查看ESXi的版本

方式1：登陸EXSi后臺(tái)，點(diǎn)擊幫助-關(guān)于，即可獲取版本號(hào)。

方式2：訪問(wèn)EXSi終端，輸入“vmware -vl”命令即可獲取版本號(hào)。

（2）查看OpenSLP服務(wù)是否開啟

訪問(wèn)EXSi終端，輸入“chkconfig --list | grep slpd”命令即可查看OpenSLP服務(wù)是否開啟。輸出“slpd on”為開啟，輸出“slpd off”則代表未開啟。

若ESXi版本在漏洞影響范圍內(nèi)，且OpenSLP服務(wù)開啟，則可能受此漏洞影響。

加固方案1：升級(jí)ESXi至如下版本

ESXi7.0 版本:升級(jí)到 ESXi70U1c-17325551 版本及以上

ESXi6.7 版本:升級(jí)到 ESXi670-202102401-SG 版本及以上

ESXi6.5 版本:升級(jí)到 ESXi650-202102101-SG 版本及以上

加固方案2：在ESXi中禁用OpenSLP服務(wù)

禁用OpenSLP屬于臨時(shí)解決方案，該臨時(shí)解決方案存在一定風(fēng)險(xiǎn)，建議用戶可根據(jù)業(yè)務(wù)系統(tǒng)特性審慎選擇采用臨時(shí)解決方案：

1、使用以下命令在 ESXi 主機(jī)上停止SLP 服務(wù)：

/etc/init.d/slpd stop  

2、運(yùn)行以下命令以禁用 SLP 服務(wù)且重啟系統(tǒng)后生效：

esxcli network firewall ruleset set -r CIMSLP -e 0 

chkconfig slpd off  

3、運(yùn)行此命令檢查禁用 SLP 服務(wù)成功：

chkconfig --list | grep slpd  

若輸出slpd off 則禁用成功  

停止SLP服務(wù)后，運(yùn)行攻擊腳本發(fā)現(xiàn)427端口已經(jīng)關(guān)閉，漏洞無(wú)法進(jìn)行利用。

本次事件是由于老漏洞被利用而引發(fā)的大規(guī)模勒索攻擊事件。面對(duì)這一類突發(fā)事件，深信服提供了一套長(zhǎng)效治理的整體解決方案。

勒索入侵的方式多種多樣，最終會(huì)攻陷服務(wù)器或PC終端，因此要想實(shí)現(xiàn)更加可靠的攔截，必須在云網(wǎng)端做到全方位保障。

深信服云網(wǎng)端安全托管方案“見招拆招”，在終端和網(wǎng)絡(luò)針對(duì)勒索病毒復(fù)雜的入侵步驟打造了全生命周期防護(hù)，構(gòu)建勒索風(fēng)險(xiǎn)有效預(yù)防、持續(xù)監(jiān)測(cè)、高效處置的勒索病毒防御體系。

在云端，依托于安全托管服務(wù)MSS，云端安全專家7*24小時(shí)監(jiān)測(cè)分析，定期將最新漏洞態(tài)勢(shì)、全球勒索攻擊趨勢(shì)、行業(yè)運(yùn)營(yíng)經(jīng)驗(yàn)等賦能本地終端和網(wǎng)絡(luò)安全設(shè)備，并總結(jié)攻擊態(tài)勢(shì)和防護(hù)結(jié)果，形成可視化報(bào)表，提升安全效果和價(jià)值呈現(xiàn)。同時(shí)提供勒索理賠服務(wù)，為勒索防護(hù)兜底。

云網(wǎng)端安全托管方案針對(duì)勒索攻擊，常態(tài)化構(gòu)建整體防護(hù)體系，降低處置運(yùn)維成本，致力于讓用戶的安全體驗(yàn)領(lǐng)先一步，安全效果領(lǐng)跑一路。

本次攻擊是日益猖獗的勒索攻擊對(duì)nday漏洞的利用，根據(jù)深信服勒索病毒態(tài)勢(shì)分析報(bào)告，有22.9%的勒索事件入侵是通過(guò)高危應(yīng)用漏洞攻擊，漏洞的威力不容小覷。因此對(duì)漏洞攻擊的精準(zhǔn)有效攔截是打造網(wǎng)絡(luò)安全體系的“強(qiáng)大底座”。

深信服下一代防火墻具備豐富的威脅智能檢測(cè)引擎，包括IPS泛化檢測(cè)引擎、Web防護(hù)WISE語(yǔ)義引擎等，且擁有全面的Web攻擊防御功能（支持13種主流Web攻擊類型），從而使產(chǎn)品整體安全漏洞攻擊攔截率達(dá)到99.7%，漏洞檢測(cè)效果獲得全球廠商最高評(píng)分，并成為國(guó)內(nèi)唯一以最高攻擊攔截率通過(guò)CyberRatings AAA認(rèn)證的防火墻產(chǎn)品。

此外，深信服下一代防火墻還搭載了全新人機(jī)識(shí)別技術(shù)Antibot，開啟后對(duì)訪問(wèn)請(qǐng)求進(jìn)行主動(dòng)驗(yàn)證，通過(guò)漏洞掃描防護(hù)和防口令爆破，從源頭上防御勒索入侵問(wèn)題。

同時(shí)，深信服AF可實(shí)現(xiàn)安全事件分鐘級(jí)告警、一鍵處置，通過(guò)云圖平臺(tái)，采用微信即時(shí)通訊方式，在發(fā)送安全事件后第一時(shí)間通知安全運(yùn)營(yíng)人員，一鍵阻斷攻擊者后續(xù)入侵，提升安全響應(yīng)效率。

作為勒索攻擊的最后一道防線，終端安全產(chǎn)品的重要性不言而喻。

在端點(diǎn)側(cè)，深信服終端安全管理系統(tǒng)EDR通過(guò)一套平臺(tái)架構(gòu)面向PC、服務(wù)器，提供基于勒索病毒攻擊鏈為終端構(gòu)建涵蓋“預(yù)防-防護(hù)-檢測(cè)響應(yīng)”的4-6-5多層次立體防御。包括勒索誘捕、微隔離、輕補(bǔ)丁漏洞免疫、RDP爆破防護(hù)，二次登陸防護(hù)等等。

基于國(guó)際知名攻擊行為知識(shí)庫(kù) ATT&CK矩陣，深信服EDR對(duì)終端系統(tǒng)層、應(yīng)用層的行為數(shù)據(jù)進(jìn)行采集，覆蓋 163 項(xiàng)技術(shù)面，貼合實(shí)際攻擊場(chǎng)景，綜合研判更加精準(zhǔn)，并通過(guò)國(guó)際知名測(cè)評(píng)機(jī)構(gòu)賽可達(dá)實(shí)驗(yàn)室的能力認(rèn)證。

通過(guò)IOA+IOC 技術(shù)融合，EDR能夠?qū)⒍藗?cè)采集的行為數(shù)據(jù)結(jié)合業(yè)務(wù)環(huán)境關(guān)聯(lián)分析，重現(xiàn)威脅入侵事件場(chǎng)景，從場(chǎng)景層面抽絲剝繭，提升研判精準(zhǔn)度。

云端安全專家團(tuán)隊(duì)結(jié)合數(shù)據(jù)自動(dòng)化聚合，對(duì)端側(cè)上報(bào)的海量數(shù)據(jù)進(jìn)行分析，研判安全事件，精準(zhǔn)定位威脅根因，快速響應(yīng)。