深信服 VMware ESXi 服务器的大规模勒索攻击事件「防御指南」，含风险自查与勒索防护！

2年前的老漏洞重现“江湖”

还带来了全球大规模的勒索攻击？！

人心惶惶如何防？看这篇就够了！

近日，深信服千里目安全技术中心在运营工作中发现了一种新的勒索软件ESXiArgs，该勒索软件于今年2月开始大规模出现。截至2月8日凌晨，基于censys统计数据，全球已受影响服务器有 2453 台，国内已受影响服务器数十台左右。多国网络安全组织机构已对此发出警告。

VMware ESXi 是 VMware 开放的服务器资源整合平台，可实现用较少的硬件集中管理多台服务器，并提升服务器性能和安全性，大规模应用于国内全行业的虚拟化平台建设，可直接访问并控制底层资源。

据分析，攻击者利用2年前发现的（已发布补丁，但客户侧未经修补） RCE 漏洞 CVE-2021-21974 将恶意文件传输至 ESXi 导致 OpenSLP 服务中的堆溢出，从而获得交互式访问，借以部署新的 ESXiArgs 勒索病毒。

【详细分析文章请点击：《ESXiArgs 勒索软件攻击之 VMware ESXi 服务器下的“天幕杀机”》】

国内存在该漏洞影响的服务器数量如下所示（基于shodan统计数据）：

攻击者加密后，会导致关键数据被损坏，虚拟机 (VM)处于关闭、无法连接状态，可能造成用户生产环境停线的严重后果；除了面临部分业务被中断，被攻击者还面临着2比特币左右的勒索赎金，给正常工作带来了极为严重的影响。

我中招了吗？

风险排查、紧急加固及处置建议

勒索风险自查

步骤一：检查/store/packages/目录下是否存在vmtools.py后门文件。如果存在，建议立即删除该文件。

步骤二：检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件，如果存在，应及时删除。

勒索处置建议

步骤一：立即隔离受感染的服务器，进行断网；

步骤二：使用数据恢复工具恢复数据或重装ESXi

美国CISA发布了 ESXiArgs 勒索软件恢复脚本，相关链接如下：

https://github.com/cisagov/ESXiArgs-Recover

步骤三：重复“勒索风险自查”步骤；

步骤四：恢复修改后的部分文件

（1）查看/usr/lib/vmware目录下的index.html文件是否为勒索信，如果是，立即删除该文件。

（2）查看/etc/目录下是否存在motd文件，如果存在，立即删除。

漏洞自查

根据外部情报调查显示，该勒索攻击利用ESXI的未修补漏洞CVE-2021-21974进行勒索病毒投放，并且VMware厂商表示并没有证据表明该勒索攻击使用了0day。因而可以针对该漏洞进行预防。

（1）查看ESXi的版本

方式1：登陆EXSi后台，点击帮助-关于，即可获取版本号。

方式2：访问EXSi终端，输入“vmware -vl”命令即可获取版本号。

（2）查看OpenSLP服务是否开启

访问EXSi终端，输入“chkconfig --list | grep slpd”命令即可查看OpenSLP服务是否开启。输出“slpd on”为开启，输出“slpd off”则代表未开启。

若ESXi版本在漏洞影响范围内，且OpenSLP服务开启，则可能受此漏洞影响。

漏洞加固

加固方案1：升级ESXi至如下版本

ESXi7.0 版本:升级到 ESXi70U1c-17325551 版本及以上

ESXi6.7 版本:升级到 ESXi670-202102401-SG 版本及以上

ESXi6.5 版本:升级到 ESXi650-202102101-SG 版本及以上

加固方案2：在ESXi中禁用OpenSLP服务

禁用OpenSLP属于临时解决方案，该临时解决方案存在一定风险，建议用户可根据业务系统特性审慎选择采用临时解决方案：

1、使用以下命令在 ESXi 主机上停止SLP 服务：

/etc/init.d/slpd stop  

2、运行以下命令以禁用 SLP 服务且重启系统后生效：

esxcli network firewall ruleset set -r CIMSLP -e 0 

chkconfig slpd off  

3、运行此命令检查禁用 SLP 服务成功：

chkconfig --list | grep slpd  

若输出slpd off 则禁用成功  

停止SLP服务后，运行攻击脚本发现427端口已经关闭，漏洞无法进行利用。

突发事件怎么防？

云网端常态化安全防护思路

本次事件是由于老漏洞被利用而引发的大规模勒索攻击事件。面对这一类突发事件，深信服提供了一套长效治理的整体解决方案。

云网端安全托管方案

勒索入侵的方式多种多样，最终会攻陷服务器或PC终端，因此要想实现更加可靠的拦截，必须在云网端做到全方位保障。

深信服云网端安全托管方案“见招拆招”，在终端和网络针对勒索病毒复杂的入侵步骤打造了全生命周期防护，构建勒索风险有效预防、持续监测、高效处置的勒索病毒防御体系。

在云端，依托于安全托管服务MSS，云端安全专家7*24小时监测分析，定期将最新漏洞态势、全球勒索攻击趋势、行业运营经验等赋能本地终端和网络安全设备，并总结攻击态势和防护结果，形成可视化报表，提升安全效果和价值呈现。同时提供勒索理赔服务，为勒索防护兜底。

云网端安全托管方案针对勒索攻击，常态化构建整体防护体系，降低处置运维成本，致力于让用户的安全体验领先一步，安全效果领跑一路。

下一代防火墙AF

本次攻击是日益猖獗的勒索攻击对nday漏洞的利用，根据深信服勒索病毒态势分析报告，有22.9%的勒索事件入侵是通过高危应用漏洞攻击，漏洞的威力不容小觑。因此对漏洞攻击的精准有效拦截是打造网络安全体系的“强大底座”。

深信服下一代防火墙具备丰富的威胁智能检测引擎，包括IPS泛化检测引擎、Web防护WISE语义引擎等，且拥有全面的Web攻击防御功能（支持13种主流Web攻击类型），从而使产品整体安全漏洞攻击拦截率达到99.7%，漏洞检测效果获得全球厂商最高评分，并成为国内唯一以最高攻击拦截率通过CyberRatings AAA认证的防火墙产品。

此外，深信服下一代防火墙还搭载了全新人机识别技术Antibot，开启后对访问请求进行主动验证，通过漏洞扫描防护和防口令爆破，从源头上防御勒索入侵问题。

同时，深信服AF可实现安全事件分钟级告警、一键处置，通过云图平台，采用微信即时通讯方式，在发送安全事件后第一时间通知安全运营人员，一键阻断攻击者后续入侵，提升安全响应效率。

终端安全管理系统EDR

作为勒索攻击的最后一道防线，终端安全产品的重要性不言而喻。

在端点侧，深信服终端安全管理系统EDR通过一套平台架构面向PC、服务器，提供基于勒索病毒攻击链为终端构建涵盖“预防-防护-检测响应”的4-6-5多层次立体防御。包括勒索诱捕、微隔离、轻补丁漏洞免疫、RDP爆破防护，二次登陆防护等等。

基于国际知名攻击行为知识库 ATT&CK矩阵，深信服EDR对终端系统层、应用层的行为数据进行采集，覆盖 163 项技术面，贴合实际攻击场景，综合研判更加精准，并通过国际知名测评机构赛可达实验室的能力认证。

通过IOA+IOC 技术融合，EDR能够将端侧采集的行为数据结合业务环境关联分析，重现威胁入侵事件场景，从场景层面抽丝剥茧，提升研判精准度。

云端安全专家团队结合数据自动化聚合，对端侧上报的海量数据进行分析，研判安全事件，精准定位威胁根因，快速响应。

上一条：SAP和红帽深化合作，采用红帽企业Linux支持SAP软件工作负载

下一条：erwin 为什么数据治理是更好决策的关键