勒索团伙瞄准VMware vSphere，虚拟化平台如何保障数据安全？

背景概述

近日，一位IT运维人员发布博客透露，3月14日凌晨遭到了针对VMware虚拟化环境勒索病毒攻击，大量虚拟机无法启用，用户生产业务受到影响，VMware vSphere集群仅有vCenter处于正常状态，部分Windows系统也遭到加密。

此消息迅速在业内引起了广泛关注，近年来，尽管勒索攻击十分泛滥，但由于Windows操作系统在企业和大型组织中具有压倒性的使用优势，绝大多数勒索程序都是Windows下的可执行文件，以至于早期的Linux勒索程序很少引起大家的关注。

但是随着虚拟化技术的应用，攻击者显然已经将目标瞄准了VMware vSphere等普及率较高的虚拟化平台，近期，国外媒体也同步报道了攻击者利用VMware ESXi漏洞（CVE-2019-5544和CVE-2020-3992）投放勒索病毒相关案例。

此次勒索攻击事件中，受害用户的业务系统就是托管在ESXi服务器上，ESXi是VMware开发的Type-1虚拟机管理程序（又名“裸机”虚拟机管理程序），通常由vCenter管理，尽管ESXi不是Linux操作系统，但可以在ESXi命令外壳中运行一些Linux编译的ELF二进制文件。

技术分析

深信服终端安全团队捕获到了此次事件中用于加密的ELF文件，进行了技术分析：

· 该勒索病毒使用了常见的RSA+AES加密方法，首先生成AES秘钥对文件进行加密，然后使用RSA公钥对AES的秘钥进行加密，只有得到攻击者的私钥才能进行解密：

· 该勒索病毒加密时，会跳过某些后缀，具体类型如下：

· 加密后修改文件后缀，并释放用于勒索的信息文件，给出联系缴纳赎金的邮箱地址：

数据恢复

绝大多数勒索病毒在加密以后，都只能通过支付赎金的方式进行解密，因此，数据备份显得尤为重要。此次的攻击事件中，用户也得益于每天进行快照备份和数据备份，进行了大部分的恢复，详细过程描述如下：

1、 VMware vSphere虚拟化主机全部重建后，通过存储LUN快照创建新的LUN挂载给ESXI，进行手动虚拟机注册。然后启动虚拟机逐步验证数据丢失情况、恢复业务；

2、 恢复备份数据，部分备份存储于本地磁盘的VMware 虚拟机，由于无法通过快照的方式还原，通过虚拟机整机还原；

3、 对于没有快照、没有备份的虚拟机，只能选择放弃。后续重构该虚拟机。

虚拟化环境防范建议

1、 及时进行Vmware虚拟化环境及应用组件升级；

2、 及时修复VMware ESXi补丁程序，在不必要时可以禁用SLP；

3、 定期维护虚拟机快照和数据备份，重要数据尽量进行异地多介质备份；

如何检测是否可能受CVE-2019-5544影响

（1）首次登陆处找到所使用版本号，

（2）使用自检脚本检测是否开启SLP服务，如图表示可能存在漏洞：

脚本下载地址：

https://github.com/HynekPetrak/CVE-2019-5544_CVE-2020-3992

临时修复建议

该临时修复建议存在一定风险，建议用户可根据业务系统特性审慎选择采用临时修复方案：

（1）ESXi使用以下命令在ESXi主机上停止SLP服务：

/etc/init.d/slpd stop

运行以下命令以禁用SLP服务且重启系统仍然生效：

esxcli network firewall ruleset set -r CIMSLP -e 0chkconfig slpd off

运行此命令检查禁用SLP服务成功：

chkconfig --list | grep slpd

若输出slpd off则禁用成功。