• <nav id="5jebs"></nav>
    <button id="5jebs"></button>

      2.  
        2. 
    
           
          
        • 智安全
        • 信服云
        • 信創適配
        • 行業
        • 試用中心
        • 技術與服務
        • 合作伙伴
        • 產業教育
        • 更多
         
         
         
         
         
         
        中文
            
         
         
         
           
              
           
           
           
          搜索
           
          搜索
           
           
           
           
           
           
           
           
           
          中文
                      
           
           
           
           
          技術博客
           
           技術博客??>??VMware ESXi 服務器的大規模勒索攻擊事件「防御指南」,含風險自查與勒索防護!
           
          VMware ESXi 服務器的大規模勒索攻擊事件「防御指南」,含風險自查與勒索防護!
           
          背景圖 2023-02-08 20:00:00
           
           
           
          

          2年前的老漏洞重現“江湖”
          

          還帶來了全球大規模的勒索攻擊?!
          

          人心惶惶如何防?看這篇就夠了!
          

          近日,深信服千里目安全技術中心在運營工作中發現了一種新的勒索軟件ESXiArgs,該勒索軟件于今年2月開始大規模出現。截至2月8日凌晨,基于censys統計數據,全球已受影響服務器有 2453 臺,國內已受影響服務器數十臺左右。多國網絡安全組織機構已對此發出警告。
          

          VMware ESXi 是 VMware 開放的服務器資源整合平臺,可實現用較少的硬件集中管理多臺服務器,并提升服務器性能和安全性,大規模應用于國內全行業的虛擬化平臺建設,可直接訪問并控制底層資源。
          

          據分析,攻擊者利用2年前發現的(已發布補丁,但客戶側未經修補) RCE 漏洞 CVE-2021-21974 將惡意文件傳輸至 ESXi 導致 OpenSLP 服務中的堆溢出,從而獲得交互式訪問,借以部署新的 ESXiArgs 勒索病毒。
          

          【詳細分析文章請點擊:《ESXiArgs 勒索軟件攻擊之 VMware ESXi 服務器下的“天幕殺機”》
          

          國內存在該漏洞影響的服務器數量如下所示(基于shodan統計數據):
          

          國內存在該漏洞影響的服務器數量
          

          

          

          攻擊者加密后,會導致關鍵數據被損壞,虛擬機 (VM)處于關閉、無法連接狀態,可能造成用戶生產環境停線的嚴重后果;除了面臨部分業務被中斷,被攻擊者還面臨著2比特幣左右的勒索贖金,給正常工作帶來了極為嚴重的影響。
          

          

          

          

          

          

          我中招了嗎?風險排查、緊急加固及處置建議
          

          

          

          

          

          

          勒索風險自查
          

          

          步驟一:檢查/store/packages/目錄下是否存在vmtools.py后門文件。如果存在,建議立即刪除該文件。
          

          步驟二:檢查/tmp/目錄下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,應及時刪除。
          

          

          

          

          

          勒索處置建議
          

          

          步驟一:立即隔離受感染的服務器,進行斷網;
          

          步驟二:使用數據恢復工具恢復數據或重裝ESXi
          

          美國CISA發布了 ESXiArgs 勒索軟件恢復腳本,相關鏈接如下:
          

          https://github.com/cisagov/ESXiArgs-Recover
          

          步驟三:重復“勒索風險自查”步驟;
          

          步驟四:恢復修改后的部分文件
          

          (1)查看/usr/lib/vmware目錄下的index.html文件是否為勒索信,如果是,立即刪除該文件。
          

          (2)查看/etc/目錄下是否存在motd文件,如果存在,立即刪除
          

          

          

          

          

          漏洞自查
          

          

          根據外部情報調查顯示,該勒索攻擊利用ESXI的未修補漏洞CVE-2021-21974進行勒索病毒投放,并且VMware廠商表示并沒有證據表明該勒索攻擊使用了0day。因而可以針對該漏洞進行預防。
          

          (1)查看ESXi的版本
          

          方式1:登陸EXSi后臺,點擊幫助-關于,即可獲取版本號。
          

          

          

          查看ESXi的版本
          

          方式2:訪問EXSi終端,輸入“vmware -vl”命令即可獲取版本號。
          

          查看ESXi的版本
          

          

          

          (2)查看OpenSLP服務是否開啟
          

          訪問EXSi終端,輸入“chkconfig --list | grep slpd”命令即可查看OpenSLP服務是否開啟。輸出“slpd on”為開啟,輸出“slpd off”則代表未開啟。
          

          查看OpenSLP服務是否開啟
          

          

          

          若ESXi版本在漏洞影響范圍內,且OpenSLP服務開啟,則可能受此漏洞影響。
          

          

          

          

          

          漏洞加固
          

          

          加固方案1:升級ESXi至如下版本
          

          ESXi7.0 版本:升級到 ESXi70U1c-17325551 版本及以上
          

          ESXi6.7 版本:升級到 ESXi670-202102401-SG 版本及以上
          

          ESXi6.5 版本:升級到 ESXi650-202102101-SG 版本及以上
          

          加固方案2:在ESXi中禁用OpenSLP服務
          

          禁用OpenSLP屬于臨時解決方案,該臨時解決方案存在一定風險,建議用戶可根據業務系統特性審慎選擇采用臨時解決方案:
          

            

          • 1、使用以下命令在 ESXi 主機上停止SLP 服務:
            • 

          

          /etc/init.d/slpd stop  
          

            

          • 2、運行以下命令以禁用 SLP 服務且重啟系統后生效:
            • 

          

          esxcli network firewall ruleset set -r CIMSLP -e 0 
          

          chkconfig slpd off  
          

            

          • 3、運行此命令檢查禁用 SLP 服務成功:
            • 

          

          chkconfig --list | grep slpd  
          

          若輸出slpd off 則禁用成功  
          

           
          

          停止SLP服務后,運行攻擊腳本發現427端口已經關閉,漏洞無法進行利用。
          

          

          

          

          

           停止SLP服務
          

          

          突發事件怎么防?云網端常態化安全防護思路
          

          

          

          本次事件是由于老漏洞被利用而引發的大規模勒索攻擊事件。面對這一類突發事件,深信服提供了一套長效治理的整體解決方案。
          

          

          

          

          云網端安全托管方案
          

          

          勒索入侵的方式多種多樣,最終會攻陷服務器或PC終端,因此要想實現更加可靠的攔截,必須在云網端做到全方位保障。
          

          深信服云網端安全托管方案“見招拆招”,在終端和網絡針對勒索病毒復雜的入侵步驟打造了全生命周期防護,構建勒索風險有效預防、持續監測、高效處置的勒索病毒防御體系。
          

          

          

          在云端,依托于安全托管服務MSS,云端安全專家7*24小時監測分析,定期將最新漏洞態勢、全球勒索攻擊趨勢、行業運營經驗等賦能本地終端和網絡安全設備,并總結攻擊態勢和防護結果,形成可視化報表,提升安全效果和價值呈現。同時提供勒索理賠服務,為勒索防護兜底。
          

          云網端安全托管方案針對勒索攻擊,常態化構建整體防護體系,降低處置運維成本,致力于讓用戶的安全體驗領先一步,安全效果領跑一路。
          

          

          

          

          下一代防火墻AF
          

          

          本次攻擊是日益猖獗的勒索攻擊對nday漏洞的利用,根據深信服勒索病毒態勢分析報告,有22.9%的勒索事件入侵是通過高危應用漏洞攻擊,漏洞的威力不容小覷。因此對漏洞攻擊的精準有效攔截是打造網絡安全體系的“強大底座”。
          

          深信服下一代防火墻具備豐富的威脅智能檢測引擎,包括IPS泛化檢測引擎、Web防護WISE語義引擎等,且擁有全面的Web攻擊防御功能(支持13種主流Web攻擊類型),從而使產品整體安全漏洞攻擊攔截率達到99.7%,漏洞檢測效果獲得全球廠商最高評分,并成為國內唯一以最高攻擊攔截率通過CyberRatings AAA認證的防火墻產品。
          

          

          此外,深信服下一代防火墻還搭載了全新人機識別技術Antibot,開啟后對訪問請求進行主動驗證,通過漏洞掃描防護和防口令爆破,從源頭上防御勒索入侵問題。
          

          <a href='http://www.szyuanan.com/product-and-solution/sangfor-security/ngfw'>下一代防火墻AF</a>
          

          

          

          同時,深信服AF可實現安全事件分鐘級告警、一鍵處置,通過云圖平臺,采用微信即時通訊方式,在發送安全事件后第一時間通知安全運營人員,一鍵阻斷攻擊者后續入侵,提升安全響應效率。
          

          安全事件分鐘級告警、一鍵處置
          

          

          

          

          終端安全管理系統EDR
          

          作為勒索攻擊的最后一道防線,終端安全產品的重要性不言而喻。 
          

          

          在端點側,深信服終端安全管理系統EDR通過一套平臺架構面向PC、服務器,提供基于勒索病毒攻擊鏈為終端構建涵蓋“預防-防護-檢測響應”的4-6-5多層次立體防御。包括勒索誘捕、微隔離、輕補丁漏洞免疫、RDP爆破防護,二次登陸防護等等。
          

          終端安全管理系統EDR
          

          基于國際知名攻擊行為知識庫 ATT&CK矩陣,深信服EDR對終端系統層、應用層的行為數據進行采集,覆蓋 163 項技術面,貼合實際攻擊場景,綜合研判更加精準,并通過國際知名測評機構賽可達實驗室的能力認證。
          

          通過IOA+IOC 技術融合,EDR能夠將端側采集的行為數據結合業務環境關聯分析,重現威脅入侵事件場景,從場景層面抽絲剝繭,提升研判精準度。
          

          云端安全專家團隊結合數據自動化聚合,對端側上報的海量數據進行分析,研判安全事件,精準定位威脅根因,快速響應。
          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

           
           
          
              上一篇:
              
                2023,狂飆的零信任
              
           
           
          相關博客
            查看更多博客
          相關資料
            
          相關新聞
            
           
           
           
           
            關于我們
             
          • 掃碼獲取一對一服務
             企業微信二維碼-官網
            •  
          • 關注我們
             
           
          智安全
          信服云
          資源中心
          如何購買
          售后支持
          公司
           
             
           
          熱門解決方案:
           
          DeepSeek承載創新方案
          云網端安全方案
          VMware替代方案
          一體化辦公安全方案
          友情鏈接:
           
          信銳技術
          口袋助理
          托管云官網
           
          ? 2025 深信服科技股份有限公司版權所有 
          粵ICP備08126214號 
          粵公網安備44030502002384號 
          合字B1.B2-20220041 
           
           
           
            
           
           
          
  
久久在精品线影院,久久视频这里只精品亚洲,99欧美精品含羞草,欧洲精品性爽视频