Kaspersky
2021-03-30
虛擬環境中的加密勒索程式
雖然虛擬環境能降低網絡威脅的風險,但並非完全無敵的萬能藥,加密勒索程式仍然能夠襲擊虛擬的架構,當中使用到存在安全漏洞的VMware ESXi。
專門針對VMware ESXi的加密勒索程式
使用虛擬裝置是強力而安全的做法,如果虛擬裝置並沒有儲存敏感數據,VM能降低被感染後的傷害,因為即使用戶意外在虛擬裝置動發了木馬程式,只需要掛載潔淨的鏡像就了逆轉惡意的改動。
然而,專門針對VMware ESXi安全漏洞的加密勒索程式RansomExx能夠攻擊虛擬硬盤,據報網絡犯罪組織DarkSide使用了相同的方法,製作了BabukLocker能夠加密ESXi。
兩個涉事安全漏洞
VMware ESXi hypervisor讓多台虛擬裝置通過Open SLP儲存資料到單一伺服器,無需預先設定便可以檢測網絡裝置,涉事的兩個安全漏洞CVE-2019-5544和CVE-2020-3992,存在已有一段時間,對網絡犯罪份子而言也毫不新穎,前者是heap overflow attack,後者則是Use-After-Free。兩項安全漏洞分別在2019和2020年被堵塞,但在2021年犯罪份子而然能利用他們成功發動攻擊,這意味著部份公司沒有更新他們的軟件。
使用ESXi的安全漏洞
攻擊者使用安全漏洞產生惡意的SLP請求並入侵數據儲存,要加密資料他們首先需要滲透網絡並站穩陣腳,這階段難度不高,尤其沒有保安方案的虛擬裝置。為了殖根在系統,RansomExx的操作員可以在Netlogon Remote Protocol使用Zerologon安全漏洞,誘使用戶在虛擬裝置上執行惡意編碼,然後奪取Active Directory控制器的控制,之後才對儲存的資料進行加密,並留下勒索的資料。
然而Zerologon並非唯一的選擇,只是其中一個最危險的選擇,因為使用這個漏洞接近難以被偵測,除非通過特別的服務。
如何防護MSXI上的攻擊
- 更新VMware ESXi
- 如果絕對無法進行更新,使用VMware提議的解決方法(但要謹記這個方法裝會限制份SLP功能)。
- 同時更新以堵塞Microsoft Netlogon的安全漏洞
- 保護網絡內所有裝置,包括虛`擬裝置
- 使用Managed Detection and Response去偵測複雜的多階段式攻擊,在傳統的防毒方案通常無法發現這種攻擊。