ESXiArgs 勒索软件攻击事件分析

逆向病毒分析 1个月前 admin

105 0 0

一. 背景

法国计算机紧急响应小组 (CERT-FR) 警告称[1]，攻击者利用VMware ESXi 服务器一个已有两年之久的远程代码执行漏洞，以部署新的 ESXiArgs 勒索软件。

该安全漏洞编号为 CVE-2021-21974 [2]，由 OpenSLP 服务中的堆溢出漏洞引起，未经身份验证的攻击者可以利用该漏洞发起攻击，漏洞利用难度低。

二. 漏洞信息

CVE-2021-21974，攻击者如果与ESXi处于同一网段且可以访问427端口，可以通过向427端口发送构造的恶意请求包触发OpenSLP服务中的堆溢出漏洞，最终造成远程代码执行。

在2021年2月，VMware公司就已发现相关程序漏洞并发布了补丁程序。且该漏洞的PoC也早已经公开[3]，近期攻击针对的是未安装补丁程序的旧版本产品。

CVE-2021-21974影响以下系统：

ESXi70U1c-17325551之前的 ESXi 版本 7.x
ESXi670-202102401-SG之前的 ESXi 版本 6.7.x
ESXi650-202102101-SG之前的 ESXi 版本 6.5.x

根据网络测绘引擎[4]的数据显示，目前实际主要受影响的版本有6.7.0、6.5.0、6.0.0、5.5.0等。

ESXiArgs 勒索软件攻击事件分析

图1 被勒索资产软件版本分布

三. 资产暴露情况分析

网络测绘平台查询结果显示，ESXi全球暴露资产数量8.4W+，主要分布在法国，美国，比利时，中国，德国等。

图2 ESXi全球资产暴露国家分布

攻击主要针对 7.0 U3i 之前版本的 ESXi 服务器的 OpenSLP 端口(427)。查询目前暴露427端口的资产有2200多台，如图3所示，而在2023年2月5日查询该数据为700台，且还在不断增加中。该数据目前暂不全面，部分被攻击的服务器开放了427端口，但是并不在此列表中，猜测此端口的数据正在测绘中。

针对此类漏洞，我们可以提前做好资产的攻击面管理。不仅仅是ESXi，其他的重要基础设施，例如政府网站服务，云原生服务组件，5G网元，工业互联网，车联网等等，都要及早做好风险的管理和缓解。

Gartner在2022年将外部攻击面管理（External Attack Surface Management，EASM）列入到了2022年安全与风险管理趋势中，可见其重要程度。而外部攻击面管理，主要是持续测绘互联网上各类资产与服务的暴露面，分析其面临的攻击面，特别是在攻击者利用之前，及时发现并缓解潜在的风险。通过网络测绘，可以梳理云上资产的暴露面，对云上资产的风险进行治理。

ESXiArgs 勒索软件攻击事件分析

图3 427端口资产暴露国家分布

四. 勒索现状

被勒索资产页面会展示交付赎金的比特币地址，金额都为2个比特币左右。

图4 被勒索资产赎金页面

根据勒索网页特征，不同时间段查询被勒索资产数量如表1所示：

表1 不同时间段查询被勒索资产数量

数量	日期
1815	2023-02-08
1438	2023-02-07
811	2023-02-06
707	2023-02-05

上文报道时提到该数量仅为120，说明该组织还在不断攻击中。鉴于仍有不少暴露427端口资产，猜测该数据还会持续上升。

图5 被勒索资产数量

根据查询结果显示，被勒索资产主要分布于法国，美国，德国，加拿大等地，国内目前没有受到该组织影响。但国内有资产暴露了427端口，可能会成为攻击勒索目标。

上文提到ESXi服务器的部署数量中法国，美国，德国等国家的数量是基本相近的，但是实际被勒索的服务器中，法国的数量确实明显高出其他国家一倍。这个可能和不同国家的组织机构的运营情况、监管机构的治理情况有一定的关联。

图6 被勒索资产数量国家分布

对被感染的的ESXi服务器做测绘时发现，目前仍有600+的服务器的427端口处于开放状态，仍然有被再次攻击的风险。

表2 被勒索资产427端口开放情况

427端口开放情况	数量
开放	641
关闭	991

五. 解决方法

禁用OpenSLP服务，或者及时安装补丁，升级到最新版本系统。
检查是否存在vmtools.py后门文件，及时删除。
对于已经被加密的虚拟机，可以采用恢复*flat.vmdk文件的方式尝试还原虚拟机镜像[5]。
安装主机，服务器防护软件，做好漏洞扫描，对Nday漏洞及时发现，及时修复。
提前做好外部攻击面管理，针对此类攻击勒索事件，提早感知此类风险。

六. 绿盟解决方案

图7 绿盟云计算安全解决方案

绿盟云计算安全解决方案基于丰富的漏洞及情报数据，对此类勒索病毒攻击，从漏洞扫描，异常行为监控，入侵威胁检测，病毒查杀，威胁告警等建立起一套覆盖事前、事中、事后的完整的全方位的安全检测体系。

七. 总结

随着后疫情时代的到来，云上业务成为各大机构实现发展的必经之路。云计算的发展所带来的开发、运营模式的变化，既蕴含大量机会，同时也存在巨大的风险。绿盟科技根据对云化趋势的前瞻性技术洞察，发布了云化战略“智安云”，帮助用户在软件栈、运营体系上云后，发现并管理暴露的攻击面，持续进行治理和缓解风险，更好地防止各类安全事件或数据泄露，保障云上业务的安全性。

参考文献

1. https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/

2. https://github.com/straightblast/My-PoC-Exploits/blob/master/CVE-2021-21974.py

3. https://straightblast.medium.com/my-poc-walkthrough-for-cve-2021-21974-a266bcad14b9

4. https://www.shodan.io/

5. https://enes.dev/

内容编辑：星云实验室陈建军

责任编辑：创新研究院董炳佑

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新研究院负责运营，绿盟科技创新研究院是绿盟科技的前沿技术研究部门，包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一，与清华大学进行博士后联合培养，科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。