Python勒索软件锁定VMware ESXi下手,起因与IT人员的管理不当有关

勒索软件黑客对于虚拟化平台的攻击行动,先前已有安全企业提出警告,REvil、RansomExx、DarkSide、HelloKitty等黑客组织,都发展出针对VMware ESXi的勒索软件。而最近有新的勒索软件攻击锁定这类平台,并且用相当快的速度加密文件。

安全企业Sophos在10月5日,披露一起使用Python脚本(Script)的勒索软件攻击事故,攻击者使用这些脚本,锁定组织内VMware ESXi环境,加密所有的虚拟磁盘,而使得虚拟机(VM)被迫下线。根据安全人员的调查,从入侵到部署勒索软件脚本,攻击者约使用了3个多小时就完成,随后就开始加密VMware ESXi服务器里的虚拟磁盘。Sophos表示,这是他们看过攻击速度最快的行动之一。

攻击者究竟如何入侵受害组织?研究人员指出,他们是通过未采用双重验证的TeamViewer账号,进入这个受害组织,并于后台中执行。而这个账号的层级,是具备域名管理员权限的用户。攻击者约于凌晨零时30分登录,并在10分钟后执行名为Advanced IP Scanner的工具,来探索目标组织的网络环境。但攻击者取得管理者TeamViewer帐密的方法为何?Sophos没有说明。

在接近凌晨2时的时候,攻击者通过上述的IP地址扫描工具,找到组织里的VMware ESXi服务器,便下载名为Bitvise的SSH用户端软件,来访问VMware ESXi服务器。攻击者能借由SSH软件访问此虚拟化平台的前提,在于管理者必须激活名为ESXi Shell的SSH服务,而这项服务默认为关闭,由此看来,显然黑客已对该组织的网络环境有一定程度的了解。

但为何受害组织会激活ESXi Shell?Sophos根据调查结果指出,该组织的IT团队会使用这项功能来管理VMware ESXi,他们看到在攻击发生前激活与停用该功能数次,但在最近一次打开ESXi Shell之后,IT人员并未停用这项访问机制,而被攻击者掌握并进行利用。不过,该组织没有关闭ESXi Shell的原因,Sophos并未进一步说明。

在攻击者扫描网络3小时之后,他们使用帐密登录ESXi Shell,复制名为fcker.py的文件,到ESXi的资料存储区(Datastore)。这个脚本使用vim-cmd的指令功能,找出所有的虚拟机并将它们关机。

接着,这个脚本运用了OpenSSL来加密文件,并以“fuck”一字复写源文件案内容,再将其删除。最终,这个脚本通过复写再删除的方式,清除了资料存储区的所有文件、虚拟机的名称,以及脚本本身。

不过,Sophos发现,本次攻击的加密过程中,黑客分别针对3个人信息料存储区执行fcker.py,这个脚本为每个存储区创建了不同的解密密钥,但因为这个脚本没有将密钥发送到外部的功能,攻击者便在受害组织的ESXi里留下解密密钥,换言之,通过留下的解密金錀,受害组织不需支付赎金,就能解密文件。

虽然本次攻击者失手留下解密密钥,但Sophos还是提醒IT人员,基于虚拟机很可能基于性能考量,没有安装杀毒软件而缺乏防护,黑客也往往直接从虚拟化平台的管理系统,着手进行攻击。对此,研究人员建议IT人员应参考VMware提供的最佳实践指南,并限制ESXi Shell的访问,以减少攻击面来保护虚拟化平台。