<track id="0vgev"><ruby id="0vgev"></ruby></track><table id="0vgev"><option id="0vgev"></option></table>
  1. <td id="0vgev"><strike id="0vgev"></strike></td><table id="0vgev"><strike id="0vgev"></strike></table>
  2. <object id="0vgev"><label id="0vgev"></label></object><track id="0vgev"></track>
    <samp id="0vgev"></samp>
  3. <pre id="0vgev"></pre>
  4. <acronym id="0vgev"></acronym>

    <table id="0vgev"><strike id="0vgev"></strike></table>

      展開
      湖北國聯計算機科技有限公司
    1. 首頁HOME
    2. 公司簡介INTRODUCTION
    3. 安全防御DEFENSE
    4. 軟件開發SOFTWARE
    5. 物聯網IOT
    6. 運行維護SRE
    7. 成功案例CASE
    8. 聯系我們CONTACT
    9. Defense Event |業界動態

      針對VMware vSphere的勒索病毒來了
      來源:湖北國菱網絡安全 時間:2021-03-19

      注意了,針對 VMware vSphere 的勒索病毒正在嘗試著攻擊,它們似乎正在尋找機會和積累經驗。

      2021 年 3 月 15 日,一篇關于 VMware vSphere 被勒索病毒攻擊的博客文章(小岑博客)引起了行業人士的廣泛關注。文章詳細介紹了虛擬機被勒索病毒攻擊后,出現了大量虛擬機關閉,虛擬機處于關機,并處于無法連接狀態,用戶生產環境停線等嚴重問題。

      據博主透露,VMware vSphere 集群僅有 vCenter 處于正常狀態;同時企業中 Windows 桌面電腦、筆記本大量出現被加密情況。

      這意味著虛擬機系統被攻擊最糟糕的情況還是出現了。

      一般情況下,勒索病毒很難做到跨操作系統的感染,例如臭名昭著的 WannaCry,針對 Windows 系統的漏洞可以加密,但是遇到虛擬機操作系統時就失效了。

      但一切正在改變,公有云及私有云等數據中心采用虛擬化的部署方式,不僅實現了計算資源利用率的最大化,還有利于節能環保。在計算機虛擬化的進程中,VMware vSphere 虛擬化平臺市場占有率最大,自然成為了勒索病毒攻擊的重點。

      △不同虛擬機平臺正在被企業大量使用

      來者不善,這次的勒索病毒造成 VMware vSphere 部分的虛擬機磁盤文件.vmdk、虛擬機描述文件.vmx 被重命名,手動打開.vmx 文件,發現.vmx 文件被加密。另外 VMware vm-support 日志收集包中,也有了勒索軟件生成的說明文件。

      △ESXI 日志診斷包出現說明文件

      文章提到,勒索團隊在攻擊感染了 VMware vSphere 虛擬機文件的同時,也加密了Windows 系統文件:

      (1)Windows 客戶端出現文件被加密情況,加密程度不一,某些用戶文件全盤加密,某些用戶部分文件被加密。

      (2)Windows 系統日志被清理,無法溯源(客戶端均安裝有 McAfee 企業防病毒軟件,但未起到防護作用)。

      (3)使用火絨、Autoruns、深信服 EDR 產品,暫未發現異常。

      同時感染了 VMware+Windows,這是 Double Kill。幸運的是在計算機虛擬化領域,玩家都是專業級人員,也就是精通 IT 技術的人員才會涉足像 VMware vSphere 這樣的平臺產品。換句話說,在這場戰斗中,進攻方與防御方旗鼓相當,被攻擊方對數據、業務恢復的能力要比普通的 IT 小白強得多。

      針對本次病毒攻擊事件,文章提到了數據恢復的具體措施。

      一是針對 VMware vSphere 被感染的虛擬機文件:

      (1)得益于客戶現有存儲每天執行過快照,VMware vSphere虛擬化主機全部重建后,通過存儲LUN快照創建新的LUN掛載給ESXI,進行手動虛擬機注冊。然后啟動虛擬機逐步驗證數據丟失情況、恢復業務。

      (2)用戶有數據備份環境,部分存儲于本地磁盤的 VMware 虛擬機,由于無法通過快照的方式還原,通過虛擬機整機還原。

      (3)對于沒有快照、沒有備份的虛擬機,只能選擇放棄,后續重構該虛擬機。

      (4)對現有虛擬化環境進行了升級。

      企業級操作系統,快照、備份就是企業生產的生命線。但是每天執行快照,并恢復的顆粒度是多大,這個值得警惕,顆粒度大,必然造成數據丟失,損失在所難免。

      二是針對 Windows 被感染的文件:

      (1)對于 Windows 客戶端進行斷網處理,并快速搶救式備份數據。

      (2)開啟防病毒軟件的防勒索功能。

      數據災備真的太重要了。

      從這次事件看,勒索病毒已經開始瞄上了 VMware vSphere,或許它們正在偷偷前行,等待合適時機進行大規模進攻。這并非是危言聳聽,最近針對 VMware vSphere 系統漏洞的攻擊發生在今年的 2 月,勒索軟件團隊通過 “RansomExx” 病毒,利用 VMWare ESXi 產品中的漏洞(CVE-2019-5544、CVE-2020-3992),對虛擬硬盤的文件進行加密。

      △RansomExx 被殺毒軟件發現

      “RansomExx” 病毒早在去年 10 月就被發現非法入侵企業的網絡設備,并攻擊本地的 ESXi 實例,進而加密其虛擬硬盤中的文件。由于該實例用于存儲來自多個虛擬機的數據,因此對企業造成了巨大的破壞。

      那么,如何對虛擬機進行備份,以及針對關鍵虛擬機進行容災,比如熱備或溫備。

      首先從備份策略來講,針對虛擬機的備份越來越充滿挑戰,主要來自兩方面:一是虛擬機數量極其龐大,少則十幾臺,多則數千臺,特別是在政務云、私有云這種虛擬化平臺上,虛擬機數量太多,傳統的針對每臺虛擬機安裝 Agent 進行備份操作,顯得過于繁瑣和落后;二是用戶對于備份實時性要求越來越高,RPO 值越低越能減少企業的損失。

      針對這兩大問題,可以通過無代理的虛擬化備份管理軟件,通過 VMware vSphere 開放的接口進行統一備份,并根據用戶生產環境和數據量,合理設置周期性備份策略,以降低備份的 RPO 值。

      其次從虛擬機容災策略來講,虛擬機故障通常分為兩類:一是平臺型故障,比如物理機故障導致虛擬機不可用,或者機房發生安全事件導致系統不可用;二是單機系統故障,系統運行慢或宕機。

      針對虛擬機不可用的問題,如果是平臺型故障,可以通過負載均衡進行整體切換實現故障接管;如果是單機型故障,可以通過容災高可用方案進行接管。通常虛擬機平臺擁有單機容災機制,但在策略上,ISV 推出的高可用軟件可能更有優勢,它可以自動根據“服務異常停止、網絡異常、硬件故障、系統宕機”進行系統的自動接管,或提示運維人員進行判斷是否接管。

      另外,數據副本管理(CDM)技術的成熟,也可以對大量的虛擬機系統進行溫備。CDM 技術可以通過不同的數據采集及備份策略,實現生產系統在進行周期性備份時,可以將備份周期的時間設置為分鐘級(如 30 分鐘備份一次)。當虛擬機備份文件需要恢復時,可以通過存儲掛載(NFS)的形式,直接將備份文件掛載在虛擬化平臺上進行瞬時恢復,掛載過程秒即完成,比普通恢復所需要的時間更小。

      △備份文件 NFS 恢復與普通恢復

      隨著虛擬機的普及,針對虛擬機的傷害變得越來越頻繁,樣式也越來越多樣。例如,2018 年 9 月,從思科離職 5 個月的 Sudhish Kasaba Ramesh,將魔爪伸向了他曾使用的個人 Google Cloud Project 賬戶,并使用 “rm -rf /* 命令行將 WebEx Teams 視頻會議和協作應用軟件的 456個虛擬機刪除了。

      而這次勒索病毒針對 VMware vSphere 的攻擊,實際上是黑客團隊推開了針對虛擬機攻擊的大門。這次的攻擊,不能僅僅看成是一次簡單的病毒攻擊事件。


      荊州地區政府網站建設 解決方案 專業團隊 地址:湖北省荊州市沙市區荊沙大道楚天都市佳園一期C區29棟112       地址:湖北省松滋市才知文化廣場1141-1142號     郵編:434200 聯系電話:0716-6666211     網站編輯部郵箱:business@gl-ns.com 鄂公網安備 42100202000212號 備案號:鄂ICP備16011027號     企業名稱:湖北國菱計算機科技有限公司
      同性男男黄g片免费网站
        <track id="0vgev"><ruby id="0vgev"></ruby></track><table id="0vgev"><option id="0vgev"></option></table>
      1. <td id="0vgev"><strike id="0vgev"></strike></td><table id="0vgev"><strike id="0vgev"></strike></table>
      2. <object id="0vgev"><label id="0vgev"></label></object><track id="0vgev"></track>
        <samp id="0vgev"></samp>
      3. <pre id="0vgev"></pre>
      4. <acronym id="0vgev"></acronym>

        <table id="0vgev"><strike id="0vgev"></strike></table>