据BleepingComputer2月3日消息,法国计算机应急响应小组(CERT-FR)近日发出警告称,攻击者正在利用远程代码执行漏洞进行攻击未受保护的补丁VMwareESXi服务器部署新的ESXiArgs勒索软件。据悉,漏洞编号为CVE-2021-21974,是由OpenSLP服务中的堆溢出问题引起的,允许未经身份验证的攻击者进行低复杂度的攻击。该漏洞主要影响6.x和6.7版本之前的ESXihypervisor。2021年2月23日,VMware发布补丁修复该漏洞。对于尚未打补丁的服务器,必须在管理程序上禁用易受攻击的服务定位协议(SLP)服务。新型ESXiArgs勒索病毒本轮攻击的研究重点不在于已经披露了两年的漏洞,而是新型ESXiArgs勒索病毒的出现。根据Shodan搜索,全球至少有120台VMwareESXi服务器在此勒索软件活动中遭到破坏。BleepingComputer发现勒索软件使用.vmxf、.vmx、.vmdk、.vmsd和.nvram扩展名加密受感染ESXi服务器上的文件,并创建一个.args文件。尽管攻击者声称窃取了数据,但一些受害者报告说,通过对超过500GB数据的服务器进行流量分析,攻击期间的使用率仅为2Mbps。经查阅近90天的流量统计,未发现出站数据被挪用的证据,不存在数据被渗透的情况。一些受害者还在锁定的系统上发现了名为“ransom.html”和“HowtoRestoreYourFiles.html”的赎金票据。其他受害者报告说他们的票是明文文件。ESXiArgs赎金票据技术细节研究人员在检索到ESXiArgs加密器和相关shell脚本的副本后,在BleepingComputer论坛上分享了他们的发现,当服务器受到威胁时,这些脚本会将以下文件存储在/tmp文件夹中:encrypt-encryptorELF可执行文件。encrypt.sh-作为攻击逻辑的shell脚本,在执行加密器之前执行各种任务。public.pem-用于加密文件的RSA公钥。motd-文本形式的赎金票据,将被复制到/etc/motd以在登录时显示。服务器的原始文件将被复制到/etc/motd1。index.html-HTML格式的赎金票据,将取代VMwareESXi主页。服务器的原始文件将被复制到同一文件夹中的index1.html。在分析了加密器之后,研究人员无法在其中找到可破解的密码缺陷。加密器使用OpenSSL的安全CPRNGRAND_pseudo_bytes生成32字节密钥并使用安全流密码Sosemanuk加密文件。文件密钥使用RSA(OpenSSL的RSA_public_encrypt)加密并附加到文件末尾。Sosemanuk算法的使用相当独特,通常仅用于从Babuk(ESXi变体)源代码派生的勒索软件中。该分析表明,ESXiArgs可能使用泄露的Babuk源代码,该源代码之前已被其他ESXi勒索软件活动使用,例如CheersCrypt和Quantum/Dagon的PrideLocker加密器。加密器由使用各种命令行参数启动的shell脚本文件执行,包括公共RSA密钥文件、要加密的文件、不会加密的数据块、加密块的大小和文件方面。加密器是使用encrypt.shshell脚本启动的,该脚本充当攻击背后的逻辑。启动时,脚本执行以下命令修改ESXi虚拟机的配置文件(.vmx),将字符串“.vmdk”和“.vswp”更改为“1.vmdk”和“1.vswp”。修改VMX文件接下来,该脚本将强行杀死(kill-9)所有包含字符串“vmx”的进程,从而终止所有正在运行的虚拟机。然后,您将使用“esxclistoragefilesystemlist|grep"/vmfs/volumes/"|awk-F'''{print$2}"命令获取ESXi卷列表,搜索与.vmdk、.vmx相关的文件,.vmxf,.vmsd,.具有匹配的vmsn、.vswp、.vmss、.nvram、.vmem扩展名的文件。对于找到的每个文件,脚本将在同一文件夹中创建一个[file_name].args文件,其中包含计算出的大小步长“1”和文件大小,例如server.vmx将有一个关联的server.vmx.args文件。之后,脚本将根据计算出的参数使用“encrypt”可执行文件来加密文件。在创建.args文件和加密文件的例程被加密后,脚本用赎金票据替换ESXiindex.html文件和服务器的motd文件。最后,该脚本将删除似乎安装到/store/packages/vmtools.py[VirusTotal]的后门,并从以下文件中删除多行:/var/spool/cron/crontabs/root/bin/hostd-probe.sh/etc/vmware/rhttpproxy/endpoints.conf/etc/rc.local.d/local.sh清理各种Linux配置文件和潜在后门(juniper)2022年12月观察到的ESXi服务器自定义Python后门非常相似.因此,所有服务器管理员都应检查此vmtools.py文件是否存在,以确保它已被删除。
