背景概述

近日，一位IT運維人員釋出部落格透露，3月14日凌晨遭到了針對VMware虛擬化環境勒索病毒攻擊，大量虛擬機器無法啟用，使用者生產業務受到影響，VMware vSphere叢集僅有vCenter處於正常狀態，部分Windows系統也遭到加密。

此訊息迅速在業內引起了廣泛關注，近年來，儘管勒索攻擊十分氾濫，但由於Windows作業系統在企業和大型組織中具有壓倒性的使用優勢，絕大多數勒索程式都是Windows下的可執行檔案，以至於早期的Linux勒索程式很少引起大家的關注。

但是隨著虛擬化技術的應用，攻擊者顯然已經將目標瞄準了VMware vSphere等普及率較高的虛擬化平臺，近期，國外媒體也同步報導了攻擊者利用VMware ESXi漏洞（CVE-2019-5544和CVE-2020-3992）投放勒索病毒相關案例。

此次勒索攻擊事件中，受害使用者的業務系統就是託管在ESXi伺服器上，ESXi是VMware開發的Type-1虛擬機器管理程式（又名“裸機”虛擬機器管理程式），通常由vCenter管理，儘管ESXi不是Linux作業系統，但可以在ESXi命令外殼中執行一些Linux編譯的ELF二進位制檔案。

技術分析

深信服終端安全團隊捕獲到了此次事件中用於加密的ELF檔案，進行了技術分析：

• 該勒索病毒使用了常見的RSA+AES加密方法，首先生成AES秘鑰對檔案進行加密，然後使用RSA公鑰對AES的秘鑰進行加密，只有得到攻擊者的私鑰才能進行解密：

• 該勒索病毒加密時，會跳過某些字尾，具體型別如下：

• 加密後修改檔案字尾，並釋放用於勒索的資訊檔案，給出聯絡繳納贖金的郵箱地址：

資料恢復

絕大多數勒索病毒在加密以後，都只能透過支付贖金的方式進行解密，因此，資料備份顯得尤為重要。此次的攻擊事件中，使用者也得益於每天進行快照備份和資料備份，進行了大部分的恢復，詳細過程描述如下：

1、VMware vSphere虛擬化主機全部重建後，透過恢復儲存LUN快照建立新的LUN掛載給ESXI，進行手動虛擬機器註冊，然後啟動虛擬機器逐步驗證資料丟失情況、恢復業務；

2、部分沒有儲存快照保護、沒有備份的虛擬機器，只能選擇放棄，後續重構該虛擬機器。

注意，在面臨該針對hypervisor攻擊時，使用虛擬機器VMDK快照、或者在虛擬機器內部的備份不能保護資料，需要在儲存層面快照或者異地備份才能保護資料。

虛擬化環境防範建議

1、及時進行VMware虛擬化環境及應用元件升級；

2、及時修復VMware ESXi補丁程式，在不必要時可以禁用SLP；

3、定期維護虛擬機器快照和資料備份（在儲存層面快照），重要資料儘量進行異地多介質備份。

如何檢測是否可能受CVE-2019-5544影響

（1）首次登陸處找到所使用版本號，

（2）使用自檢指令碼檢測是否開啟SLP服務，如圖表示可能存在漏洞：

指令碼下載地址：

https://github.com/HynekPetrak/CVE-2019-5544_CVE-2020-3992

臨時修復建議

該臨時修復建議存在一定風險，建議使用者可根據業務系統特性審慎選擇採用臨時修復方案：

（1）ESXi使用以下命令在ESXi主機上停止SLP服務：

/etc/init.d/slpd stop

執行以下命令以禁用SLP服務且重啟系統仍然生效：

esxcli network firewall ruleset set -r CIMSLP -e 0chkconfig slpd off

執行此命令檢查禁用SLP服務成功：

chkconfig --list | grep slpd

若輸出slpd off則禁用成功。 

深信服產品處理方案

1、【深信服EDR】深信服EDR使用者將病毒庫更新至20210317164718版本，接入檔案雲查，使用雲查服務以及時檢測防禦新威脅；

2、【深信服下一代防火牆】可輕鬆防禦CVE-2019-5544漏洞，建議部署深信服下一代防火牆的使用者升級最新版本的規則庫，可輕鬆防禦該病毒利用的漏洞；

3、【深信服安全感知平臺】可檢測利用CVE-2019-5544漏洞的攻擊，實時告警，建議更新到最新版本，接入深信服雲查，及時檢測新威脅。