一. 背景
二. 漏洞信息
-
ESXi70U1c-17325551之前的 ESXi 版本 7.x -
ESXi670-202102401-SG之前的 ESXi 版本 6.7.x -
ESXi650-202102101-SG之前的 ESXi 版本 6.5.x
图1 被勒索资产软件版本分布
三. 资产暴露情况分析
图2 ESXi全球资产暴露国家分布
图3 427端口资产暴露国家分布
四. 勒索现状
图4 被勒索资产赎金页面
表1 不同时间段查询被勒索资产数量
| 数量 |
日期 |
| 1815 | 2023-02-08 |
| 1438 | 2023-02-07 |
| 811 |
2023-02-06 |
| 707 |
2023-02-05 |
图5 被勒索资产数量
图6 被勒索资产数量国家分布
表2 被勒索资产427端口开放情况
| 427端口开放情况 |
数量 |
| 开放 |
641 |
| 关闭 | 991 |
五. 解决方法
-
禁用OpenSLP服务,或者及时安装补丁,升级到最新版本系统。 -
检查是否存在vmtools.py后门文件,及时删除。 -
对于已经被加密的虚拟机,可以采用恢复*flat.vmdk文件的方式尝试还原虚拟机镜像[5]。 -
安装主机,服务器防护软件,做好漏洞扫描,对Nday漏洞及时发现,及时修复。 -
提前做好外部攻击面管理,针对此类攻击勒索事件,提早感知此类风险。
六. 绿盟解决方案
图7 绿盟云计算安全解决方案
七. 总结
参考文献
1. https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/
2. https://github.com/straightblast/My-PoC-Exploits/blob/master/CVE-2021-21974.py
3. https://straightblast.medium.com/my-poc-walkthrough-for-cve-2021-21974-a266bcad14b9
4. https://www.shodan.io/
5. https://enes.dev/
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新研究院负责运营,绿盟科技创新研究院是绿盟科技的前沿技术研究部门,包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我
原文始发于微信公众号(绿盟科技研究通讯):ESXiArgs 勒索软件攻击事件分析
