菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。
靠山概述
克日,一位IT运维职员公布博客透露,3月14日破晓遭到了针对VMware虚拟化环境勒索病毒攻击,大量虚拟机无法启用,用户生产营业受到影响,VMware vSphere集群仅有vCenter处于正常状态,部门Windows系统也遭到加密。
此新闻迅速在业内引起了普遍关注,近年来,只管勒索攻击十分泛滥,但由于Windows操作系统在企业和大型组织中具有压倒性的使用优势,绝大多数勒索程序都是Windows下的可执行文件,以至于早期的Linux勒索程序很少引起人人的关注。
然则随着虚拟化手艺的应用,攻击者显然已经将目的瞄准了VMware vSphere等普及率较高的虚拟化平台,近期,外洋媒体也同步报道了攻击者行使VMware ESXi破绽(CVE-2019-5544和CVE-2020-3992)投放勒索病毒相关案例。
此次勒索攻击事宜中,受害用户的营业系统就是托管在ESXi服务器上,ESXi是VMware开发的Type-1虚拟机治理程序(又名“裸机”虚拟机治理程序),通常由vCenter治理,只管ESXi不是Linux操作系统,但可以在ESXi下令外壳中运行一些Linux编译的ELF二进制文件。
手艺剖析
笃信服终端平安团队捕捉到了此次事宜中用于加密的ELF文件,举行了手艺剖析:
· 该勒索病毒使用了常见的RSA AES加密方式,首先天生AES秘钥对文件举行加密,然后使用RSA公钥对AES的秘钥举行加密,只有获得攻击者的私钥才气举行解密:
· 该勒索病毒加密时,会跳过某些后缀,详细类型如下:
· 加密后修改文件后缀,并释放用于勒索的信息文件,给出联系缴纳赎金的邮箱地址:
数据恢复
绝大多数勒索病毒在加密以后,都只能通过支付赎金的方式举行解密,因此,数据备份显得尤为主要。此次的攻击事宜中,用户也得益于天天举行快照备份和数据备份,举行了大部门的恢复,详细历程形貌如下:
1、 VMware vSphere虚拟化主机所有重修后,通过存储LUN快照确立新的LUN挂载给ESXI,举行手动虚拟机注册。然后启动虚拟机逐步验证数据丢失情形、恢复营业;
2、 恢复备份数据,部门备份存储于内陆磁盘的VMware 虚拟机,由于无法通过快照的方式还原,通过虚拟机整机还原;
,,菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。
3、 对于没有快照、没有备份的虚拟机,只能选择放弃。后续重构该虚拟机。
虚拟化环境提防建议
1、 实时举行Vmware虚拟化环境及应用组件升级;
2、 实时修复VMware ESXi补丁程序,在不需要时可以禁用SLP;
3、 定期维护虚拟机快照和数据备份,主要数据只管举行异地多介质备份;
若何检测是否可能受CVE-2019-5544影响
(1)首次上岸处找到所使用版本号,
(2)使用自检剧本检测是否开启SLP服务,如图示意可能存在破绽:
剧本下载地址:
https://github.com/HynekPetrak/CVE-2019-5544_CVE-2020-3992
暂且修复建议
该暂且修复建议存在一定风险,建议用户可凭证营业系统特征审慎选择接纳暂且修复方案:
(1)ESXi使用以下下令在ESXi主机上住手SLP服务:
/etc/init.d/slpd stop
运行以下下令以禁用SLP服务且重启系统仍然生效:
esxcli network firewall ruleset set -r CIMSLP -e 0chkconfig slpd off
运行此下令检查禁用SLP服务乐成:
chkconfig --list | grep slpd
若输出slpd off则禁用乐成。