在虛擬環境下同樣猖獗的勒索軟體

 

在虛擬環境下同樣猖獗的勒索軟體

█儘管虛擬技術大大降低了部分網路威脅風險,然而相比其他實例而言,虛擬技術也並非是萬金油。 勒索軟體依然可以攻擊虛擬基礎設施。 有科技媒體最近舉出了VMware  ESXi虛擬機的較弱版本被攻破的案例。

使用虛擬機是穩妥且安全的操作。 例如在使用虛擬機的過程中不經手任何敏感資訊,就能大大減少被病毒感染的風險。 即便使用者意外在虛擬機上啟動了木馬病毒,單純掛載在虛擬機上的鏡像能避免任何惡意篡改。

然而,RansomExx勒索軟體專門透過VMware  ESXi虛擬機器的漏洞攻擊虛擬硬碟。 據報導,駭客組織Darkside就使用了這種方法,而BabukLocker木馬病毒的製造者暗示他們有能力加密ESXi。

 

存在哪些漏洞?

VMware ESXi管理程式允許多台虛擬機透過OpenSLP(ServiceLayer Protocol)協定在單個伺服器上儲存資訊,該協定能檢測出無需預先配置的網路設備。 出問題的兩個漏洞分別是CVE-2019-5544和CVE-2020-3992,都是曾經出現過的,因此對網路犯罪者而言不算新鮮。

第一個漏洞用於執行堆疊溢出攻擊,而第二個屬於Use-After-Free(”釋放后使用”,是與程式操作期間錯誤使用動態記憶體有關的漏洞)類型的漏洞,也就是說,和在操作過程中不正常地使用動態記憶體有關。

這兩個漏洞都在不久之前被修復(前者於2019年修復,後者於2020年修復),然而到了2021年,網路犯罪者依然透過這兩個漏洞成功進行了攻擊。 老生常談的問題,看來又有一些組織沒有及時更新自己的軟體。

如犯罪分子如何利用ESXi漏洞

攻擊者能利用此類漏洞生成惡意SLP請求,繼而威脅到數據存儲。 當然,為了加密信息,他們得要首先滲透網路並駐紮下來。 這算不上難事,尤其是當虛擬機沒有運行安全解決方案的時候。
為了把病毒深植系統之中,比如像RansomExx勒索軟體的開發者就可以使用 Zerologon 漏洞(Netlogon遠程協定中的漏洞)。 也就是說,他們誘導使用者在虛擬機上運行惡意代碼,然後便接手Active Directory域控制器,接著只需把存儲內容加密,留下一張勒索信走人。
順帶一提,Zerologon漏洞並不是唯一一種攻擊選擇,它只是最高危的攻擊方式之一,因為在沒有特殊服務的情況下,幾乎不可能探測到它的運行。

 

如何防止針對MSXI的攻擊

  • 更新VMware ESXi;
  • 如果無法更新,就使用VMware的推薦解決方案(但請注意,此類方法會限制一些SLP功能);
  • 還需要更新Microsoft Netlogon以修補該漏洞;
  • 對網路中的所有機器進行保護,包括虛擬機;
  • 使用我們的託管檢測和回應服務,這樣就能探測到複雜的、常規反病毒解決方案也發現不了的多階段網路攻擊。

 

 

Comments are closed.

Proudly powered by WordPress | Theme: Baskerville 2 by Anders Noren.

Up ↑

%d 位部落客按了讚: