研究人员发现了加密托管在 ESXi 管理程序上的虚拟机的勒索软件

Sophos 发布了一种用 Python 编写的新型勒索软件的详细信息,攻击者利用该软件破坏和加密托管在 ESXi 管理程序上的虚拟机。该报告详细介绍了一个类似狙击手的操作,从破解到加密只用了不到三个小时。

ESXi 管理程序勒索软件

“这是 Sophos 调查过的最快的勒索软件攻击之一,它似乎精确瞄准了 ESXi 平台,”说 安德鲁·布兰特, 首席研究员 Sophos.

“Python 是一种不常用于勒索软件的编码语言。但是,Python 预装在基于 Linux 的系统(例如 ESXi)上,这使得基于 Python 的攻击成为可能。 ESXi 服务器是勒索软件威胁参与者的一个有吸引力的目标,因为它们可以同时攻击多个虚拟机,其中每个虚拟机都可能运行关键业务应用程序或服务。对管理程序的攻击既快速又具有高度破坏性。包括 DarkSide 和 REvil 在内的勒索软件运营商已将 ESXi 服务器作为攻击目标。”

ESXi hypervisor 勒索软件的攻击时间线

调查显示,攻击开始于周日凌晨 12 点 30 分,当时勒索软件操作员闯入了在计算机上运行的 TeamViewer 帐户,该帐户属于也拥有域管理员访问凭据的用户。

据调查人员称,10分钟后,攻击者使用Advanced IP Scanner工具在网络上寻找目标。调查人员认为网络上的 ESXi 服务器存在漏洞,因为它有一个活动的 Shell,这是一个 IT 团队用于命令和更新的编程接口。这允许攻击者在属于域管理员的机器上安装一个名为 Bitvise 的安全网络通信工具,这使他们能够远程访问 ESXi 系统,包括虚拟机使用的虚拟磁盘文件。凌晨 3 点 40 分左右,攻击者部署了勒索软件并加密了 ESXi 服务器上托管的这些虚拟硬盘。

安全建议

“在其网络上运行 ESXi 或其他虚拟机管理程序的管理员应遵循安全最佳实践。这包括使用独特的、难以暴力破解的密码,并在可能的情况下强制使用多因素身份验证,”Brandt 说。

“只要员工不使用 ESXi Shell 进行日常维护,例如在安装补丁期间,就可以并且应该禁用 ESXi Shell。 IT 团队可以通过使用服务器控制台上的控件或通过供应商提供的软件管理工具来做到这一点。”

建议使用以下标准最佳实践来帮助防御勒索软件和相关网络攻击。

在战略层面

部署分层保护.随着越来越多的勒索软件攻击开始涉及勒索,备份仍然是必要的,但还不够。比以往任何时候都更重要的是首先将对手拒之门外,或者在它们造成伤害之前快速发现它们。使用分层保护在整个资产范围内尽可能多地阻止和检测攻击者。

结合人类专家和反勒索软件技术.阻止勒索软件的关键是深度防御,它结合了专用的反勒索软件技术和人为主导的威胁搜寻。技术提供了组织所需的规模和自动化,而人类专家最有能力检测表明攻击者试图进入环境的告密策略、技术和程序。如果组织内部没有相关技能,他们可以寻求网络安全专家的支持。

在日常战术层面

监控和响应警报.确保有适当的工具、流程和资源(人员)可用于监控、调查和应对环境中的威胁。勒索软件攻击者通常会在非高峰时间、周末或假期进行罢工,假设很少或没有工作人员在观看。

设置和强制执行强密码.强密码是第一道防线。密码应该是唯一的或复杂的,并且永远不要重复使用。使用可以存储员工凭证的密码管理器更容易实现这一点。

使用多重身份验证 (MFA).即使是强密码也可能被泄露。任何形式的 多因素身份验证 在保护对电子邮件、远程管理工具和网络资产等关键资源的访问方面,总比没有好。

锁定无障碍服务.从外部执行网络扫描,识别并锁定 VNC、RDP 或其他远程访问工具常用的端口。如果需要使用远程管理工具访问计算机,请将该工具置于 VPN 或使用 MFA 作为其登录一部分的零信任网络访问解决方案之后。

实践细分和零信任.将关键服务器与工作站分开,将它们放入单独的 VLAN 中,从而实现 零信任 network model.

离线备份信息和应用程序.保持 备份 保持最新,确保其可恢复性并保持离线副本。

盘点您的资产和账户.网络中未知、未受保护和未打补丁的设备会增加风险并造成恶意活动可能被忽视的情况。拥有所有连接的计算实例的当前清单至关重要。使用网络扫描、IaaS 工具和物理检查来定位和编目它们,并在任何缺乏保护的机器上安装端点保护软件。

确保安全产品配置正确.保护不足的系统和设备也很容易受到攻击。确保正确配置安全解决方案并定期检查并在必要时验证和更新安全策略非常重要。新的安全功能并不总是自动启用。不要禁用篡改保护或创建广泛的检测排除,因为这样做会使攻击者的工作更容易。

审核活动目录 (AD).对 AD 中的所有帐户进行定期审计,确保没有人拥有超出其目的所需的访问权限。离职员工一离开公司就禁用他们的账户。

修补一切.使 Windows 和其他操作系统和软件保持最新。这也意味着要仔细检查补丁是否已正确安装,以及是否适用于面向 Internet 的机器或域控制器等关键系统。




分享这个