VMware虛擬機系統(tǒng)也被勒索病毒盯上了

3月15日，有VMware Vsphere用戶發(fā)博稱，他們的大量虛擬機被惡意關(guān)閉，并且處于無法連接狀態(tài)，導(dǎo)致用戶生產(chǎn)環(huán)境停線嚴(yán)重事故。經(jīng)排查，他們的虛擬機被勒索病毒攻擊，花了一整天的時間，才將業(yè)務(wù)恢復(fù)了80%左右。這件事引起了行業(yè)人士的廣泛關(guān)注。

博主描述此次事件表現(xiàn)為：

1、VMware vSphere集群僅有vCenter處于正常狀態(tài)。

2、同時企業(yè)中Windows桌面PC，筆記本大量出現(xiàn)被加密情況。

這意味著虛擬機系統(tǒng)也被勒索病毒盯上了。

VMware vSphere部分：

瀏覽ESXI Datastore發(fā)現(xiàn)，虛擬機磁盤文件.vmdk、虛擬機描述文件.vmx被重命名。手動打開.vmx文件，發(fā)現(xiàn).vmx文件被加密。另外VMware vm-support日志收集包中，也有了勒索軟件生成的說明文件。

Windows部分：

1、Windows客戶端出現(xiàn)出現(xiàn)文件被加密情況，加密程度不一，某些用戶文件全盤加密，某些用戶部分文件被加密。

2、Windows系統(tǒng)日志被清理，無法溯源。(客戶端均安裝有企業(yè)防病毒軟件，但并未起到防護作用。)

這次病毒感染了VMware虛擬機+Windows，一般情況下，勒索病毒很難做到跨操作系統(tǒng)的感染，例如臭名昭著的WannaCry，針對 Windows系統(tǒng)的漏洞可以加密，但是遇到虛擬機操作系統(tǒng)時就失效了。

隨著計算機虛擬化的發(fā)展，公有云及私有云等數(shù)據(jù)中心采用虛擬化的部署方式已成為趨勢，而其中VMware vSphere虛擬化平臺市場占有率最大，自然成為了勒索病毒攻擊的重點。

從此次事件可以看出，勒索病毒已經(jīng)開始瞄上了VMware vSphere用戶，或許它們正在偷偷前行，等待合適時機進行大規(guī)模進攻。這并非是危言聳聽，最近針對VMware vSphere系統(tǒng)漏洞的攻擊發(fā)生在今年2月，勒索軟件團隊通過“RansomExx”病毒，利用VMWare ESXi產(chǎn)品中的漏洞(CVE-2019-5544、CVE-2020-3992)，對虛擬硬盤的文件進行加密。

RansomExx被發(fā)現(xiàn)(來源：Kaspersky)

“RansomExx”病毒早在去年 10 月就被發(fā)現(xiàn)非法入侵企業(yè)的網(wǎng)絡(luò)設(shè)備，并攻擊本地的ESXi 實例，進而加密其虛擬硬盤中的文件。由于該實例用于存儲來自多個虛擬機的數(shù)據(jù)，因此對企業(yè)造成了巨大的破壞。

根據(jù)已有VMware勒索事件發(fā)現(xiàn)，他們利用VMware ESXi管理程序漏洞對虛擬機進行加密。Carbon Spider和Sprite Spider這兩個團伙專門攻擊ESXi虛擬機管理程序，發(fā)動大規(guī)模的勒索病毒活動(又叫大型目標(biāo)狩獵，BGH)。

他們通過vCenter Web登錄信息攻擊ESXi系統(tǒng)，可控制多個ESXi設(shè)備的集中式服務(wù)器，連接到vCenter后，他們使SSH能夠?qū)SXi設(shè)備進行持久訪問，并更改root密碼或主機的SSH密鑰，與此同時植入Darkside勒索病毒，達成目的。

上個月底VMware也發(fā)布了一份安全公告，對其虛擬化產(chǎn)品中的三個高危漏洞打上了補丁，這包括ESXi裸機虛擬機管理程序中的堆緩沖區(qū)溢出漏洞，以及vCenter Server的底層操作系統(tǒng)漏洞。VMware用戶請?zhí)岣呔?..

此次事件的博主提到了他們的處理方式：

一是針對 VMware vSphere 被感染的虛擬機文件：

1、得益于客戶現(xiàn)有存儲每天執(zhí)行過快照，VMware vSphere虛擬化主機全部重建后，通過存儲LUN快照創(chuàng)建新的LUN掛載給ESXI，進行手動虛擬機注冊。然后啟動虛擬機逐步驗證數(shù)據(jù)丟失情況、恢復(fù)業(yè)務(wù)。

2、用戶有數(shù)據(jù)備份環(huán)境，部分存儲于本地磁盤的VMware 虛擬機，由于無法通過快照的方式還原，通過虛擬機整機還原。

3、對于沒有快照、沒有備份的虛擬機，只能選擇放棄。后續(xù)重構(gòu)該虛擬機。

4、對現(xiàn)有虛擬化環(huán)境進行了升級。

二是針對Windows被感染的文件：

對于Windows客戶端進行斷網(wǎng)處理，并快速搶救式備份數(shù)據(jù)。

開啟防病毒軟件的防勒索功能。

從事件解決方式可以看出來：數(shù)據(jù)災(zāi)備才是最有效的安全保障。那么，如何對虛擬機進行備份，以及針對關(guān)鍵虛擬機進行容災(zāi)?

1、海量虛擬機環(huán)境用戶

采用云祺VMware vSphere無代理備份，為用戶日常運維成本降低幾十甚至數(shù)百倍。

2、降低RPO實現(xiàn)容災(zāi)

云祺容災(zāi)可恢復(fù)至被勒索病毒感染的前一刻，最小備份恢復(fù)力度可達毫秒級，RPO值越低越能減少用戶損失。

3、靈活備份業(yè)務(wù)數(shù)據(jù)

靈活的備份模式和時間備份策略，在勒索病毒來臨前，按需設(shè)置備份任務(wù)，確保擁有有效備份數(shù)據(jù)。

4、本地異地雙重保護

云祺可幫助用戶建設(shè)異地容災(zāi)系統(tǒng)，即使本地業(yè)務(wù)系統(tǒng)因勒索病毒導(dǎo)致業(yè)務(wù)暫時中斷，也可在異地拉起業(yè)務(wù)，實現(xiàn)業(yè)務(wù)接管。

5、數(shù)據(jù)歸檔三重保護

云祺將用戶重要備份數(shù)據(jù)本地歸檔或者云歸檔，有效地管理數(shù)據(jù)，實現(xiàn)數(shù)據(jù)的長期保存，即使異地備份系統(tǒng)同時被攻擊，也有PLAN C。

6、Windows同步備份

為Windows用戶同步提供操作系統(tǒng)、數(shù)據(jù)庫、文件等數(shù)據(jù)的容災(zāi)備份，有效應(yīng)對“Double Kill”的勒索病毒攻擊。

云祺已為全球160萬+臺虛擬機提供保護，其中VMware用戶約占70%，提供成熟穩(wěn)定的VMware虛擬機備份與恢復(fù)解決方案。

我們做出了一些勒索病毒的反思和建議：

1、數(shù)據(jù)備份非常重要，建議有多份備份數(shù)據(jù)，存儲于不同介質(zhì)或區(qū)域，備份往往是災(zāi)難發(fā)生后的唯一救命稻草。

2、存儲級別的冗余也很有必要，比如存儲的快照，復(fù)制，克隆等技術(shù)，這些技術(shù)在備份和還原上非常的迅速，利于快速恢復(fù)業(yè)務(wù)。

3、關(guān)注廠商的安全公告，及時對現(xiàn)有環(huán)境中的軟硬件環(huán)境進行升級。

而這次勒索病毒針對VMware vSphere的攻擊，實際上是不法團隊推開了針對虛擬機攻擊的大門。這次事件也在提醒我們，重要數(shù)據(jù)必須備份。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）