展開(kāi)
            湖北國(guó)聯(lián)計(jì)算機(jī)科技有限公司
          1. 首頁(yè)HOME
          2. 公司簡(jiǎn)介INTRODUCTION
          3. 安全防御DEFENSE
          4. 軟件開(kāi)發(fā)SOFTWARE
          5. 物聯(lián)網(wǎng)IOT
          6. 運(yùn)行維護(hù)SRE
          7. 成功案例CASE
          8. 聯(lián)系我們CONTACT
          9. Defense Event |業(yè)界動(dòng)態(tài)

            針對(duì)VMware vSphere的勒索病毒來(lái)了
            來(lái)源:湖北國(guó)菱網(wǎng)絡(luò)安全 時(shí)間:2021-03-19

            注意了,針對(duì) VMware vSphere 的勒索病毒正在嘗試著攻擊,它們似乎正在尋找機(jī)會(huì)和積累經(jīng)驗(yàn)。

            2021 年 3 月 15 日,一篇關(guān)于 VMware vSphere 被勒索病毒攻擊的博客文章(小岑博客)引起了行業(yè)人士的廣泛關(guān)注。文章詳細(xì)介紹了虛擬機(jī)被勒索病毒攻擊后,出現(xiàn)了大量虛擬機(jī)關(guān)閉,虛擬機(jī)處于關(guān)機(jī),并處于無(wú)法連接狀態(tài),用戶(hù)生產(chǎn)環(huán)境停線(xiàn)等嚴(yán)重問(wèn)題。

            據(jù)博主透露,VMware vSphere 集群僅有 vCenter 處于正常狀態(tài);同時(shí)企業(yè)中 Windows 桌面電腦、筆記本大量出現(xiàn)被加密情況。

            這意味著虛擬機(jī)系統(tǒng)被攻擊最糟糕的情況還是出現(xiàn)了。

            一般情況下,勒索病毒很難做到跨操作系統(tǒng)的感染,例如臭名昭著的 WannaCry,針對(duì) Windows 系統(tǒng)的漏洞可以加密,但是遇到虛擬機(jī)操作系統(tǒng)時(shí)就失效了。

            但一切正在改變,公有云及私有云等數(shù)據(jù)中心采用虛擬化的部署方式,不僅實(shí)現(xiàn)了計(jì)算資源利用率的最大化,還有利于節(jié)能環(huán)保。在計(jì)算機(jī)虛擬化的進(jìn)程中,VMware vSphere 虛擬化平臺(tái)市場(chǎng)占有率最大,自然成為了勒索病毒攻擊的重點(diǎn)。

            △不同虛擬機(jī)平臺(tái)正在被企業(yè)大量使用

            來(lái)者不善,這次的勒索病毒造成 VMware vSphere 部分的虛擬機(jī)磁盤(pán)文件.vmdk、虛擬機(jī)描述文件.vmx 被重命名,手動(dòng)打開(kāi).vmx 文件,發(fā)現(xiàn).vmx 文件被加密。另外 VMware vm-support 日志收集包中,也有了勒索軟件生成的說(shuō)明文件。

            △ESXI 日志診斷包出現(xiàn)說(shuō)明文件

            文章提到,勒索團(tuán)隊(duì)在攻擊感染了 VMware vSphere 虛擬機(jī)文件的同時(shí),也加密了Windows 系統(tǒng)文件:

            (1)Windows 客戶(hù)端出現(xiàn)文件被加密情況,加密程度不一,某些用戶(hù)文件全盤(pán)加密,某些用戶(hù)部分文件被加密。

            (2)Windows 系統(tǒng)日志被清理,無(wú)法溯源(客戶(hù)端均安裝有 McAfee 企業(yè)防病毒軟件,但未起到防護(hù)作用)。

            (3)使用火絨、Autoruns、深信服 EDR 產(chǎn)品,暫未發(fā)現(xiàn)異常。

            同時(shí)感染了 VMware+Windows,這是 Double Kill。幸運(yùn)的是在計(jì)算機(jī)虛擬化領(lǐng)域,玩家都是專(zhuān)業(yè)級(jí)人員,也就是精通 IT 技術(shù)的人員才會(huì)涉足像 VMware vSphere 這樣的平臺(tái)產(chǎn)品。換句話(huà)說(shuō),在這場(chǎng)戰(zhàn)斗中,進(jìn)攻方與防御方旗鼓相當(dāng),被攻擊方對(duì)數(shù)據(jù)、業(yè)務(wù)恢復(fù)的能力要比普通的 IT 小白強(qiáng)得多。

            針對(duì)本次病毒攻擊事件,文章提到了數(shù)據(jù)恢復(fù)的具體措施。

            一是針對(duì) VMware vSphere 被感染的虛擬機(jī)文件:

            (1)得益于客戶(hù)現(xiàn)有存儲(chǔ)每天執(zhí)行過(guò)快照,VMware vSphere虛擬化主機(jī)全部重建后,通過(guò)存儲(chǔ)LUN快照創(chuàng)建新的LUN掛載給ESXI,進(jìn)行手動(dòng)虛擬機(jī)注冊(cè)。然后啟動(dòng)虛擬機(jī)逐步驗(yàn)證數(shù)據(jù)丟失情況、恢復(fù)業(yè)務(wù)。

            (2)用戶(hù)有數(shù)據(jù)備份環(huán)境,部分存儲(chǔ)于本地磁盤(pán)的 VMware 虛擬機(jī),由于無(wú)法通過(guò)快照的方式還原,通過(guò)虛擬機(jī)整機(jī)還原。

            (3)對(duì)于沒(méi)有快照、沒(méi)有備份的虛擬機(jī),只能選擇放棄,后續(xù)重構(gòu)該虛擬機(jī)。

            (4)對(duì)現(xiàn)有虛擬化環(huán)境進(jìn)行了升級(jí)。

            企業(yè)級(jí)操作系統(tǒng),快照、備份就是企業(yè)生產(chǎn)的生命線(xiàn)。但是每天執(zhí)行快照,并恢復(fù)的顆粒度是多大,這個(gè)值得警惕,顆粒度大,必然造成數(shù)據(jù)丟失,損失在所難免。

            二是針對(duì) Windows 被感染的文件:

            (1)對(duì)于 Windows 客戶(hù)端進(jìn)行斷網(wǎng)處理,并快速搶救式備份數(shù)據(jù)。

            (2)開(kāi)啟防病毒軟件的防勒索功能。

            數(shù)據(jù)災(zāi)備真的太重要了。

            從這次事件看,勒索病毒已經(jīng)開(kāi)始瞄上了 VMware vSphere,或許它們正在偷偷前行,等待合適時(shí)機(jī)進(jìn)行大規(guī)模進(jìn)攻。這并非是危言聳聽(tīng),最近針對(duì) VMware vSphere 系統(tǒng)漏洞的攻擊發(fā)生在今年的 2 月,勒索軟件團(tuán)隊(duì)通過(guò) “RansomExx” 病毒,利用 VMWare ESXi 產(chǎn)品中的漏洞(CVE-2019-5544、CVE-2020-3992),對(duì)虛擬硬盤(pán)的文件進(jìn)行加密。

            △RansomExx 被殺毒軟件發(fā)現(xiàn)

            “RansomExx” 病毒早在去年 10 月就被發(fā)現(xiàn)非法入侵企業(yè)的網(wǎng)絡(luò)設(shè)備,并攻擊本地的 ESXi 實(shí)例,進(jìn)而加密其虛擬硬盤(pán)中的文件。由于該實(shí)例用于存儲(chǔ)來(lái)自多個(gè)虛擬機(jī)的數(shù)據(jù),因此對(duì)企業(yè)造成了巨大的破壞。

            那么,如何對(duì)虛擬機(jī)進(jìn)行備份,以及針對(duì)關(guān)鍵虛擬機(jī)進(jìn)行容災(zāi),比如熱備或溫備。

            首先從備份策略來(lái)講,針對(duì)虛擬機(jī)的備份越來(lái)越充滿(mǎn)挑戰(zhàn),主要來(lái)自?xún)煞矫妫阂皇翘摂M機(jī)數(shù)量極其龐大,少則十幾臺(tái),多則數(shù)千臺(tái),特別是在政務(wù)云、私有云這種虛擬化平臺(tái)上,虛擬機(jī)數(shù)量太多,傳統(tǒng)的針對(duì)每臺(tái)虛擬機(jī)安裝 Agent 進(jìn)行備份操作,顯得過(guò)于繁瑣和落后;二是用戶(hù)對(duì)于備份實(shí)時(shí)性要求越來(lái)越高,RPO 值越低越能減少企業(yè)的損失。

            針對(duì)這兩大問(wèn)題,可以通過(guò)無(wú)代理的虛擬化備份管理軟件,通過(guò) VMware vSphere 開(kāi)放的接口進(jìn)行統(tǒng)一備份,并根據(jù)用戶(hù)生產(chǎn)環(huán)境和數(shù)據(jù)量,合理設(shè)置周期性備份策略,以降低備份的 RPO 值。

            其次從虛擬機(jī)容災(zāi)策略來(lái)講,虛擬機(jī)故障通常分為兩類(lèi):一是平臺(tái)型故障,比如物理機(jī)故障導(dǎo)致虛擬機(jī)不可用,或者機(jī)房發(fā)生安全事件導(dǎo)致系統(tǒng)不可用;二是單機(jī)系統(tǒng)故障,系統(tǒng)運(yùn)行慢或宕機(jī)。

            針對(duì)虛擬機(jī)不可用的問(wèn)題,如果是平臺(tái)型故障,可以通過(guò)負(fù)載均衡進(jìn)行整體切換實(shí)現(xiàn)故障接管;如果是單機(jī)型故障,可以通過(guò)容災(zāi)高可用方案進(jìn)行接管。通常虛擬機(jī)平臺(tái)擁有單機(jī)容災(zāi)機(jī)制,但在策略上,ISV 推出的高可用軟件可能更有優(yōu)勢(shì),它可以自動(dòng)根據(jù)“服務(wù)異常停止、網(wǎng)絡(luò)異常、硬件故障、系統(tǒng)宕機(jī)”進(jìn)行系統(tǒng)的自動(dòng)接管,或提示運(yùn)維人員進(jìn)行判斷是否接管。

            另外,數(shù)據(jù)副本管理(CDM)技術(shù)的成熟,也可以對(duì)大量的虛擬機(jī)系統(tǒng)進(jìn)行溫備。CDM 技術(shù)可以通過(guò)不同的數(shù)據(jù)采集及備份策略,實(shí)現(xiàn)生產(chǎn)系統(tǒng)在進(jìn)行周期性備份時(shí),可以將備份周期的時(shí)間設(shè)置為分鐘級(jí)(如 30 分鐘備份一次)。當(dāng)虛擬機(jī)備份文件需要恢復(fù)時(shí),可以通過(guò)存儲(chǔ)掛載(NFS)的形式,直接將備份文件掛載在虛擬化平臺(tái)上進(jìn)行瞬時(shí)恢復(fù),掛載過(guò)程秒即完成,比普通恢復(fù)所需要的時(shí)間更小。

            △備份文件 NFS 恢復(fù)與普通恢復(fù)

            隨著虛擬機(jī)的普及,針對(duì)虛擬機(jī)的傷害變得越來(lái)越頻繁,樣式也越來(lái)越多樣。例如,2018 年 9 月,從思科離職 5 個(gè)月的 Sudhish Kasaba Ramesh,將魔爪伸向了他曾使用的個(gè)人 Google Cloud Project 賬戶(hù),并使用 “rm -rf /* 命令行將 WebEx Teams 視頻會(huì)議和協(xié)作應(yīng)用軟件的 456個(gè)虛擬機(jī)刪除了。

            而這次勒索病毒針對(duì) VMware vSphere 的攻擊,實(shí)際上是黑客團(tuán)隊(duì)推開(kāi)了針對(duì)虛擬機(jī)攻擊的大門(mén)。這次的攻擊,不能僅僅看成是一次簡(jiǎn)單的病毒攻擊事件。


            荊州地區(qū)政府網(wǎng)站建設(shè) 解決方案 專(zhuān)業(yè)團(tuán)隊(duì) 騰訊第三方平臺(tái) 地址:湖北省荊州市沙市區(qū)荊沙大道楚天都市佳園一期C區(qū)29棟112       地址:湖北省松滋市新江口街道才知文化廣場(chǎng)1幢1146-1151室     郵編:434200 聯(lián)系電話(huà):0716-6666211     網(wǎng)站編輯部郵箱:business@gl-ns.com 鄂公網(wǎng)安備 42100202000212號(hào) 備案號(hào):鄂ICP備2021015094號(hào)-1     企業(yè)名稱(chēng):湖北國(guó)菱計(jì)算機(jī)科技有限公司
            2020国自产拍精品免费观看,国产经典aⅴ三级观看,国产午夜99视频精品免费播放,亚洲开心网激情五月,91久久精品无码,久久综合香蕉久久久久久久,亚洲中亚洲中文字幕无线乱码,在线播放对白太大了