北京新闻频道

usdt支付对接(www.caibao.it):勒索团伙瞄准VMware vSphere,虚拟化平台若何保障数据平安?

来源:北京新闻网 发布时间:2021-03-24 浏览次数:

USDT第三方支付平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

靠山概述

克日,一位IT运维职员公布博客透露,3月14日破晓遭到了针对VMware虚拟化环境勒索病毒攻击,大量虚拟机无法启用,用户生产营业受到影响,VMware vSphere集群仅有vCenter处于正常状态,部门Windows系统也遭到加密。

新闻迅速在业内引起了普遍关注,近年来,只管勒索攻击十分泛滥,但由于Windows操作系统在企业和大型组织中具有压倒性的使用优势,绝大多数勒索程序都是Windows下的可执行文件,以至于早期的Linux勒索程序很少引起人人的关注。

然则随着虚拟化手艺的应用,攻击者显然已经将目的瞄准了VMware vSphere等普及率较高的虚拟化平台,近期,外洋媒体也同步报道了攻击者行使VMware ESXi破绽(CVE-2019-5544和CVE-2020-3992)投放勒索病毒相关案例。

此次勒索攻击事宜中,受害用户的营业系统就是托管在ESXi服务器上,ESXi是VMware开发的Type-1虚拟机治理程序(又名“裸机”虚拟机治理程序),通常由vCenter治理,只管ESXi不是Linux操作系统,但可以在ESXi下令外壳中运行一些Linux编译的ELF二进制文件。

手艺剖析

笃信服终端平安团队捕捉到了此次事宜中用于加密的ELF文件,举行了手艺剖析:

· 该勒索病毒使用了常见的RSA AES加密方式,首先天生AES秘钥对文件举行加密,然后使用RSA公钥对AES的秘钥举行加密,只有获得攻击者的私钥才气举行解密:

· 该勒索病毒加密时,会跳过某些后缀,详细类型如下:

· 加密后修改文件后缀,并释放用于勒索的信息文件,给出联系缴纳赎金的邮箱地址:

数据恢复

绝大多数勒索病毒在加密以后,都只能通过支付赎金的方式举行解密,因此,数据备份显得尤为主要。此次的攻击事宜中,用户也得益于天天举行快照备份和数据备份,举行了大部门的恢复,详细历程形貌如下:

1、 VMware vSphere虚拟化主机所有重修后,通过存储LUN快照确立新的LUN挂载给ESXI,举行手动虚拟机注册。然后启动虚拟机逐步验证数据丢失情形、恢复营业;

2、 恢复备份数据,部门备份存储于内陆磁盘的VMware 虚拟机,由于无法通过快照的方式还原,通过虚拟机整机还原;

,

usdt收款平台

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

3、 对于没有快照、没有备份的虚拟机,只能选择放弃。后续重构该虚拟机。

虚拟化环境提防建议

1、 实时举行Vmware虚拟化环境及应用组件升级;

2、 实时修复VMware ESXi补丁程序,在不需要时可以禁用SLP;

3、 定期维护虚拟机快照和数据备份,主要数据只管举行异地多介质备份;

若何检测是否可能受CVE-2019-5544影响

(1)首次上岸处找到所使用版本号,

(2)使用自检剧本检测是否开启SLP服务,如图示意可能存在破绽:

剧本下载地址:

https://github.com/HynekPetrak/CVE-2019-5544_CVE-2020-3992

暂且修复建议

该暂且修复建议存在一定风险,建议用户可凭证营业系统特征审慎选择接纳暂且修复方案:

(1)ESXi使用以下下令在ESXi主机上住手SLP服务:

/etc/init.d/slpd stop

运行以下下令以禁用SLP服务且重启系统仍然生效:

esxcli network firewall ruleset set -r CIMSLP -e 0chkconfig slpd off

运行此下令检查禁用SLP服务乐成:

chkconfig --list | grep slpd

若输出slpd off则禁用乐成。

发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片