<strong id="6w6mk"></strong>
  • <legend id="6w6mk"></legend>
  • <bdo id="6w6mk"></bdo>
    <nav id="6w6mk"></nav>
  • 致力于打造電子商務,信息安全的一流服務商

    To focus on creating e-commerce, information security, first-class service providers

    news center

    新聞中心

    警惕!針對VMware vSphere的勒索病毒已經出現

    發布日期:2021年03月17日 瀏覽次數:

    近日,一篇關于 VMware vSphere 被勒索病毒攻擊的博客文章(小岑博客)引起了行業人士的廣泛關注。文章詳細介紹了虛擬機被勒索病毒攻擊后,出現了大量虛擬機關閉,虛擬處于關機,并處于無法連接狀態,用戶生產環境停線等嚴重問題。

     

    事件發生

     

    VMware vSphere 集群僅有 vCenter 處于正常狀態;同時企業中 Windows 桌面電腦、筆記本大量出現被加密情況。這意味著虛擬機系統被攻擊最糟糕的情況還是出現了。

     

    一般情況下,勒索病毒很難做到跨操作系統的感染,例如臭名昭著的 WannaCry,針對 Windows 系統的漏洞可以加密,但是遇到虛擬機操作系統時就失效了。

     

    但一切正在改變,公有云及私有云等數據中心采用虛擬化的部署方式,不僅實現了計算資源利用率的最大化,還有利于節能環保。在計算機虛擬化的進程中,VMware vSphere 虛擬化平臺市場占有率最大,自然成為了勒索病毒攻擊的重點。

     

    微信圖片_20210326171038.jpg

    不同虛擬機平臺正在被企業大量使用

     

    這次的勒索病毒造成 VMware vSphere 部分虛擬機磁盤文件.vmdk、虛擬機描述文件.vmx 被重命名,手動打開.vmx 文件,發現.vmx 文件被加密。另外 VMware vm-support 日志收集包中,也有勒索軟件生成的說明文件。

     

    微信圖片_20210326171046.jpg

    ESXI 日志診斷包出現說明文件(來源:小岑博客)

     

    勒索團隊在攻擊感染 VMware vSphere 虛擬機文件的同時,也加密了Windows 系統文件:

    ① Windows 客戶端出現文件被加密情況,加密程度不一,某些用戶文件全盤加密,某些用戶部分文件被加密。

    ② Windows 系統日志被清理,無法溯源(客戶端均安裝有 McAfee 企業防病毒軟件,但未起到防護作用)。

    ③ 使用安全軟件,暫未發現異常。

     

    同時感染了 VMware+Windows,這是 Double Kill。幸運的是在計算機虛擬化領域,玩家都是專業級人員,也就是精通 IT 技術的人員才會涉足像 VMware vSphere 這樣的平臺產品。換句話說,在這場戰斗中,進攻方與防御方旗鼓相當,被攻擊方對數據、業務恢復的能力要比普通的 IT 小白強得多。

     

    處理過程

     

    針對本次病毒攻擊事件,文章提到了數據恢復的具體措施。

    1、針對 VMware vSphere 被感染的虛擬機文件:

    ① 得益于用戶現有存儲每天執行過快照,VMware vSphere虛擬化主機全部重建后,通過存儲LUN快照創建新的LUN掛載給ESXI,進行手動虛擬機注冊。然后啟動虛擬機逐步驗證數據丟失情況、恢復業務。

    ② 用戶有數據備份環境,部分存儲于本地磁盤的 VMware 虛擬機,由于無法通過快照的方式還原,通過虛擬機整機還原。

    ③ 對于沒有快照、沒有備份的虛擬機,只能選擇放棄,后續重構該虛擬機。

    ④ 對現有虛擬化環境進行了升級。

    企業級操作系統,快照、備份就是企業生產的生命線。但是每天執行快照,并恢復的顆粒度是多大,這個值得警惕,顆粒度大,必然造成數據丟失,損失在所難免。

     

    2、針對 Windows 被感染的文件:

    ① 對于 Windows 客戶端進行斷網處理,并快速搶救式備份數據。

    ② 開啟防病毒軟件的防勒索功能。

     

    反思和建議

     

    數據備份非常重要。從這次事件看,勒索病毒已經開始瞄上了 VMware vSphere,或許它們正在偷偷前行,等待合適時機進行大規模進攻。這并非是危言聳聽,最近針對 VMware vSphere 系統漏洞的攻擊發生在今年的 2 月,勒索軟件團隊通過 “RansomExx”  病毒,利用 VMWare ESXi 產品中的漏洞(CVE-2019-5544、CVE-2020-3992),對虛擬硬盤的文件進行加密。

     

    微信圖片_20210326171051.jpg

    RansomExx 被殺毒軟件發現(來源:Kaspersky)

     

    “RansomExx” 病毒早在去年 10 月就被發現非法入侵企業的網絡設備,并攻擊本地的 ESXi 實例,進而加密其虛擬硬盤中的文件。由于該實例用于存儲來自多個虛擬機的數據,因此對企業造成了巨大的破壞。

     

    那么,如何對虛擬機進行備份,以及針對關鍵虛擬機進行容災,比如熱備或溫備。

     

    首先從備份策略來講,針對虛擬機的備份越來越充滿挑戰,主要來自兩方面:一是虛擬機數量極其龐大,少則十幾臺,多則數千臺,特別是在政務云、私有云這種虛擬化平臺上,虛擬機數量太多,傳統的針對每臺虛擬機安裝 Agent 進行備份操作,顯得過于繁瑣和落后;二是用戶對于備份實時性要求越來越高,RPO 值越低越能減少企業的損失。

     

    針對這兩大問題,可以通過無代理的虛擬化備份管理軟件,通過 VMware vSphere 開放的接口進行統一備份,并根據用戶生產環境和數據量,合理設置周期性備份策略,以降低備份的 RPO 值。

     

    其次從虛擬機容災策略來講,虛擬機故障通常分為兩類:一是平臺型故障,比如物理機故障導致虛擬機不可用,或者機房發生安全事件導致系統不可用;二是單機系統故障,系統運行慢或宕機。

     

    針對虛擬機不可用的問題,如果是平臺型故障,可以通過負載均衡進行整體切換實現故障接管;如果是單機型故障,可以通過容災高可用方案進行接管。通常虛擬機平臺擁有單機容災機制,但在策略上,ISV 推出的高可用軟件可能更有優勢,它可以自動根據“服務異常停止、網絡異常、硬件故障、系統宕機”進行系統的自動接管,或提示運維人員進行判斷是否接管。

     

    另外,數據副本管理(CDM)技術的成熟,也可以對大量的虛擬機系統進行溫備。CDM 技術可以通過不同的數據采集及備份策略,實現生產系統在進行周期性備份時,可以將備份周期的時間設置為分鐘級(如 30 分鐘備份一次)。當虛擬機備份文件需要恢復時,可以通過存儲掛載(NFS)的形式,直接將備份文件掛載在虛擬化平臺上進行瞬時恢復,掛載過程秒級完成,比普通恢復所需要的時間更小。

    微信圖片_20210326171055.jpg

    備份文件 NFS 恢復與普通恢復

     

    總結

     

    隨著虛擬機的普及,針對虛擬機的傷害變得越來越頻繁,樣式也越來越多樣。例如,2018 年 9 月,從思科離職 5 個月的 Sudhish Kasaba Ramesh,將魔爪伸向了他曾使用的個人 Google Cloud Project 賬戶,并使用 “rm -rf /* 命令行將 WebEx Teams 視頻會議和協作應用軟件的 456 個虛擬機刪除了。

     

    而這次勒索病毒針對 VMware vSphere 的攻擊,實際上是黑客團隊推開了針對虛擬機攻擊的大門。這次的攻擊,不能僅僅看成一次簡單的病毒攻擊事件。

     

    (文章來源:云災備公眾號)

    Service phone
    0533-3583100
    山東省淄博市高新區柳泉北路西側先進陶瓷產業創新園B座6樓
    山東正舟信息技術有限公司版權所有 業務范圍:電子商務平臺建設、電子商務平臺運營、內網信息安全、文檔數據加密、數據文檔安全、高端網站建設、企業微信公眾平臺建設
    友情鏈接: 齊貿通、
    QQ客服 問題建議

    公告

    誠聘

    所有崗位應聘者,敬請撥打電話,預約面試時間。

    詳情請咨詢人事部

    電話:0533-3589281

    A级爱爱片欧美_a 成 人小说网站在线观看_色老99久久九九爱精品_影音先锋色av男人资源网