针对VMware vSphere的勒索病毒已经出现

最新推荐文章于 2024-06-09 09:50:23 发布
最新推荐文章于 2024-06-09 09:50:23 发布
阅读量5.8k 收藏 4
点赞数 3
分类专栏: VMware 安全
原文链接:https://www.crazycen.com/vmware/1905.html
版权
VMware 同时被 2 个专栏收录
357 篇文章 142 订阅
订阅专栏
安全
61 篇文章 3 订阅
订阅专栏

针对VMware vSphere的勒索病毒已经出现

https://www.crazycen.com/vmware/1905.html

2021年3月15日 8318点热度 15人点赞 10条评论

2021.03.14 周日凌晨,睡梦中醒来,经用户反馈,大量虚拟机关闭,虚拟处于关机,并处于无法连接状态,用户生产环境停线。

小岑和同事,以及用户,一起参与到业务恢复中。花费一整天时间,才将业务恢复的七七八八。

 

中毒现象:

VMware vSphere集群仅有vCenter处于正常状态。

同时企业中Windows桌面PC,笔记本大量出现被加密情况。

VMware vSphere部分

1.浏览ESXI Datastore发现,虚拟机磁盘文件.vmdk,虚拟机描述文件.vmx被重命名,手动打开.vmx文件,发现.vmx文件被加密。

VMware vm-support日志收集包中,竟然也有勒索软件生成的说明文件。

ESXI vm-support收集的日志诊断包

 

Windows部分

1.Windows客户端出现出现文件被加密情况,加密程度不一,某些用户全盘加密,某些用户部分文件被加密。

2.Windows系统日志被清理,无法溯源。PS:客户端均安装有McAfee企业防病毒软件,然而并未起到防护作用。

3.使用火绒、autoruns、深信服EDR产品,暂未发现异常。

本次事件处理方式:

VMware vSphere部分

1.得益于客户现有存储每天执行过快照,VMware vSphere虚拟化主机全部重建后,通过存储LUN快照创建新的LUN挂载给ESXI,进行手动虚拟机注册。然后启动虚拟机逐步验证数据丢失情况、恢复业务。

2.用户有数据备份环境,部分存储于本地磁盘的VMware 虚拟机,由于无法通过快照的方式还原,通过虚拟机整机还原。

3.对于没有快照、没有备份的虚拟机,只能选择放弃。后续重构该虚拟机。

4.对现有虚拟化环境进行了升级。

VMware的安全公告

VMSA-2019-0022.1

VMSA-2020-0023.3

改漏洞主要利用VMware使用的Openslp组件漏洞进行攻击。

VMware缓解方案

禁用ESXI SLPD服务,但是vCenter无效

How to Disable/Enable CIM Server on VMware ESXi (76372)

补丁解决方案:

搜索对应版本Esxi和vCenter的补丁,进行升级。

https://my.vmware.com/group/vmware/patch#search

Windows部分

1.对于Windows客户端,进行断网,并快速抢救式备份数据。

2.开启防病毒软件的防勒索功能。

勒索病毒的反思和建议:

1.数据备份非常重要,往往是灾难发生后的唯一救命稻草。建议有多份数据备份,且存储于不同介质。

2.存储级别的冗余也很有必要,比如存储的快照,复制,克隆等技术,这些技术在备份和还原上非常的迅速,利于快速恢复业务。目前主流的中端存储基本都支持存储快照。建议采用定期的LUN快照,保护企业数据。

3.关注厂商的安全公告,及时对现有环境中的软硬件环境进行升级。

相关链接:

Ransomware gangs are abusing VMWare ESXi exploits to encrypt virtual hard disks

z荒野求生
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
预警!VMware ESXi服务器遭大规模勒索攻击,已有数千系统中招!科力锐提供勒索病毒拦截&应急恢复体系化解决方案
weixin_74412513的博客
03-01 722
安全大数据公司Censys对勒索信息进行了检索和披露,显示欧洲和北美已有数千台服务器遭到破坏。奥地利计算机安全应急响应小组在周一也发出警告,称“至少有3762个系统”受到了影响。据悉,意大利、法国、芬兰、美国、加拿大等国均遭到攻击,意大利电信公司出现大规模互联网中断,国内已受影响服务器也有数十台左右。多国网络安全组织机构已对此发出警告!
VMware vsphere Enterprise各个版本的区别
08-16
VMware vSphere是业界领先的虚拟化平台,提供了一系列版本来满足不同规模企业和组织的需求。本文将详细介绍vSphere的几个主要版本:Essentials Kit、Essentials Plus Kit、Standard、Enterprise和Enterprise Plus...
ESXi Args勒索病毒来袭,VMware ESXi用户需提高警惕
qq_42934452的博客
02-17 562
云祺助您应对数据安全挑战
【转】VMware-vSphere-SDK 引用内AppUtil、VimService2010、Vim25Service2010为黄色叹号的解决方法...
aozong5545的博客
10-08 128
最近用到VMware-vSphere-SDK-5.0.0-429209 来使用dotnet控制虚拟机的操作,发现引用内好多黄色叹号,附上解决方法: VMware-vSphere-SDK-5.0.0-429209\SDK\vsphere-ws\wsdl 此目录下有vim和vim25两个目录,用他们生成响应dll文件 打开Visual studio开发人员工具,依次输入如下命令:(已将...
探索VMware ESXi安全漏洞CVE-2021-21974:一键RCE PoC
最新发布
gitblog_00087的博客
06-09 458
探索VMware ESXi安全漏洞CVE-2021-21974:一键RCE PoC 项目地址:https://gitcode.com/Shadow0ps/CVE-2021-21974 1、项目介绍 在网络安全的世界里,及时发现和利用漏洞是保障系统安全的关键。CVE-2021-21974是一个影响VMware ESXi的远程代码执行(RCE)漏洞,这个开源项目提供了针对该漏洞的Proof-of-Co...
漏洞预警,VMware远程代码执行漏洞的严重等级达到9.8(满分10)
Karka_的博客
12-26 1307
2021 年 2 月 23 日,VMware 公司发布漏洞安全公告,VMware 多个组件存在远程代码执行、堆溢出漏洞和信息泄露漏洞的高危漏洞。机器之心报道,机器之心编辑部。就在几天前,一些互联网公司监测到 VMware 官方发布安全公告,披露了包括 CVE-2021-21972、CVE-2021-21973 和 CVE-2021-21974 在内的高危漏洞。攻击者可以通过发送精心构造的恶意数据包造成远程执行代码,获取接管服务器权限,存在极大的安全隐患。
VMware ESXi 服务器的大规模勒索攻击事件「防御指南」,含风险自查与勒索防护!
weixin_40191861的博客
04-01 630
检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,应及时删除。VMware ESXi 是 VMware 开放的服务器资源整合平台,可实现用较少的硬件集中管理多台服务器,并提升服务器性能和安全性,(1)查看/usr/lib/vmware目录下的index.html文件是否为勒索信,如果是,立即删除该文件。(2)查看/etc/目录下是否存在motd文件,如果存在,立即删除。登陆EXSi后台,点击帮助-关于,即可获取版本号。
ESXi 勒索病毒ESXiArgs 其 CVE-2021-21974 漏洞分析
Songxwn的博客
02-07 1459
SLP服务漏洞
VMware vSphere 7.0 实战快速入门
07-29
VMware vSphere 7.0 实战快速入门
VMware vSphere 6.5 全套中文手册
10-31
包含ESXi 和 vCenter Server 产品文档、VMware Tools、VMware Vitual SAN、VMware vSphere Data Protection、vSphere Update Manager、补充文档、兼容性和配置限制、命令行界面、新功能和发行说明、vsphere-admin-...
VMware vSphere 6.7 全套下载
08-07
vsphere6.7 是业内最完整最强健的虚拟机平台,创建资源池来管理计算、网络和存储容量与易用性,并提供最高水平的服务,每个应用程序工作负载以最低的总成本。
VMware_ESXI_OpenSLP_PoCs:CVE-2020-3992和CVE-2019-5544
05-23
VMware_ESXI_OpenSLP_PoC CVE-2020-3992和CVE-2019-5544 在VMware Workstation上安装的ESXI上进行了测试。 如果是在真正的机器上,则可能需要更改srvtype字段(服务:VMwareInfrastructure)。
VMware vSphere 8 Hypervisor (ESXi ISO)
12-09
VMware vSphere Hypervisor (ESXi ISO) image 2022-10-11 8.0.0 619.13 MB iso Boot your server with this image in order to install or upgrade to ESXi (ESXi requires 64-bit capable servers). This ESXi ...
VMware OpenSLP漏洞解决方案
m0_64423407的博客
11-26 844
ESXI openslp漏洞解决分享
新型RedAlert勒索病毒针对VMWare ESXi服务器
pandazhengzheng的博客
02-07 1730
新型RedAlert勒索病毒针对VMWare ESXi服务器
VMware ESXi OpenSLP堆溢出漏洞,附本次勒索软件ESXiArgs恶意文件分析(CNVD-2021-12321对标CVE-2021-21974)
鸭梨山大。
02-14 3879
近日以VMware ESXi服务器为目标的大规模勒索软件攻击正在席卷全球,包括法国、芬兰、加拿大、美国、意大利等多个国家数千台服务器遭到入侵。攻击者利用了2021年2月公开的高危漏洞(CNVD-2021-12321,),可以向WMware ESXi软件目标服务器427端口发送恶意构造的数据包,从而触发其OpenSLP服务堆缓冲区溢出,并执行任意代码,借以部署新的 ESXiArgs 勒索软件。一、漏洞详情VMware vSphere是美国威睿公司推出一套服务器虚拟化解决方案,包括虚拟化、管理和界面层。
ESXi主机CVE-2021-21972漏洞复现安全处置建议
tigerman20201的博客
02-18 2062
一、漏洞简介 vSphereVMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机vSphere Client(HTML5) 在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,写入webshell,控制服务器
VMware ESXi OpenSLP 堆溢出漏洞(CVE-2021–21974)
热门推荐
qq_42067124的博客
02-08 1万+
该漏洞编号为CVE-2021-21974,由 OpenSLP 服务中的堆溢出问题引起,未经身份验证的攻击者可以此进行低复杂度攻击。该漏洞主要影响6.x 版和 6.7 版本之前的 ESXi 管理程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值