针对VMware ESXi服务器的Nevada勒索软件即服务攻击技术分析

本文详细分析了Nevada勒索软件即服务攻击活动,该活动利用CVE-2021-21974漏洞针对VMware ESXi服务器进行加密攻击,涉及技术细节包括攻击向量、加密算法、文件处理方式及防护建议。

Ransomware as a Service – Nevada Ransomware campaign targeting VMWare ESXi servers

Written by Michal Nowakowski of the Kudelski Security Threat Detection & Research Team

UPDATE – February 14th 2023

在2月3日第一波ESXiArgs勒索软件活动发生后,安全社区在不同出版物中解决了赎金要求的两个主要元素:恶意软件的初始访问向量和恶意软件的变种。

最初的出版物强调利用CVE-2021-21974(ESXi的OpenSLP服务中的堆溢出漏洞)作为恶意软件的初始访问向量。然而,最新报告提到并非所有受感染的服务器都运行该服务。因此,这些活动背后的攻击者可能正在使用多个已知的ESXi漏洞,调查仍在进行中。作为对此持续情况的应对措施,确保ESXi服务器更新VMware提供的已知漏洞补丁非常重要。此信息可在VMware的安全公告部分找到:https://www.vmware.com/security/advisories/VMSA-2021-0002.html。

与最初观察到的ESXiArgs案例相比,新变种加密了更多数据,使得CISA等组织建议的恢复过程更具挑战性。另一个变化是比特币钱包不再可追踪,因为信息已从赎金要求中删除。

摘要

截至2023年2月3日星期五,暴露在互联网上的VMware ESXi服务器已成为广泛Nevada勒索软件活动的目标。

Nevada是一个新兴的勒索软件即服务(RaaS),拥有成熟的附属网络,邀请俄语和英语实体参与。

赎金票据解释攻击者已窃取并加密受害者的文件,并给出两个选项:支付赎金以维护隐私,或冒险等待奇迹而损失宝贵时间。备忘录威胁如果受害者在三天内未联系攻击者,将在Tor上发布受害者数据。

此外,票据警告不要尝试从备份中恢复文件,因为这不能减轻发布威胁,并指示受害者不要删除或重命名加密文件或使用公共解密工具,因为它们可能包含病毒。相反,受害者被指示安装Tor浏览器并遵循提供的链接联系攻击者。

Nevada locker用Rust编写,根据CISA顾问编制的比特币地址列表,已有近3000台暴露的ESXi服务器被加密。

受影响系统和/或应用

Nevada目前针对ESXi Hypervisors从版本6.x到6.7。然而,根据使用CVE-2021-21974执行攻击的事实,以下系统也可能受到影响:

  • ESXi版本7.x早于ESXi70U1c-17325551
  • ESXi版本6.7.x早于ESXi670-202102401-SG
  • ESXi版本6.5.x早于ESXi650-202102101-SG

请在VMware网站上查找其他和更新信息:https://www.vmware.com/security/advisories/VMSA-2021-0002.html

技术细节/攻击概述

Nevada的技术分析正在进行中。到目前为止,可以确认以下特征:

  • 使用称为CVE-2021-21974的OpenSLP漏洞(端口427)作为攻击向量。
  • 加密使用恶意软件在/tmp/public.pem中实现的公钥。
  • 加密过程特别影响以下扩展名的虚拟机文件(.vmdk, .vmx, .vmxf, .vmsd, .vmsn, .vswp, .vmss, .nvram, *.vmem)。
  • 恶意软件创建argsfile以存储传递给加密二进制文件的参数(要跳过的MB数、加密块中的MB数、文件大小)。

除此之外,在RaaS合作伙伴门户中注意到以下功能。locker通过控制台运行,带有适当的标志,其功能描述如下:

Windows版本

  • file – 加密选定文件
  • rez – 加密选定目录
  • sd – 完成后自行删除
  • sc – 删除后台副本
  • lhd – 加载隐藏磁盘
  • nd – 查找并加密网络共享
  • sm – 在安全模式下加密

Linux版本

  • help – 帮助
  • daemon – 创建并启动“nevada”服务
  • file – 加密特定文件
  • dir – 加密特定文件夹
  • esxi – 禁用所有虚拟机

如果加密程序使用“-nd”标志运行,则将开始使用“MPR.dll”文件收集有关网络共享的信息。代码中实现了递归算法来收集此信息。然后,有关共享目录的信息将存储在队列中以供进一步加密。

以下是加密程序加载的模块:

此外,如果加密程序使用“-lhd”参数运行,则可以显示所有磁盘(包括隐藏磁盘),为它们分配相应的字母,然后任何隐藏磁盘上的文件信息将写入队列以供进一步加密。

另一方面,如果加密程序使用“-sm”参数运行,则Windows系统将重新启动并启动到具有网络功能的紧急模式。目录使用“-dir”参数加密。

我们还知道勒索软件使用称为“Salsa20”的加密算法,带有常量变量“expand 32-byte k”。也就是说,像Petya勒索软件一样,它是一种流密码,进一步防止访问受攻击的驱动器。

Nevada用“stripes”加密文件 – 与Salsa20结合,这是一个提高加密速度的优势。小于524288字节(512KB)的文件将被完全加密,这似乎是例外。

有趣的是,Nevada locker的Linux版本不加密512KB到1.25MB之间的文件,可能是由于错误。这些文件保持不变,但添加了.NEVADA扩展名,并在文件末尾添加了38个字节,这可能使这些文件的恢复成为可能。

在二进制文件末尾,将添加公钥和“Nevada”签名。

解决方案

应用VMware ESXi提供的更新: 由于CVE-2021-21974漏洞并不新,VMware建议应用提供的更新。

在互联网暴露的ESXi服务器上阻止OpenSLP端口427: CFC建议阻止可从互联网访问的ESXi服务器上的OpenSLP端口427。在端口427绝对必须开放的情况下,限制对受信任来源的访问。 https://kb.vmware.com/s/article/76372

一般勒索软件建议:

  • 备份数据并将其存储在勒索软件参与者无法访问的地方。
  • 审查并强化适用于任何互联网暴露资产的安全策略。
  • 重新评估有关资产是否绝对必须从互联网访问。
  • 对最关键资产应用适当的监控。
  • 应用最小权限原则:最小化具有不必要权限的用户。

临时解决方法和缓解措施

由于研究正在进行中,一些攻击向量仍需确认,未发现的漏洞可能在此攻击中起作用。CFC正在监控情况,并将根据需要更新本文档。

恢复

美国网络安全和基础设施局(CISA)发布了一个名为ESXiArgs-Recover的脚本,用于恢复由上述类型勒索软件攻击加密的VMware ESXi服务器。

尽管脚本不应引起任何问题,但建议在运行脚本或尝试恢复之前创建备份。

整个过程在以下链接中描述:https://github.com/cisagov/ESXiArgs-Recover

检测指导

识别易受攻击的ESXi服务器 要查找ESXi服务器的版本,请参考vCenter服务器或VMware合作伙伴界面。

启用端点威胁检测和响应 如上所述,勒索软件技术本质上并不新颖,并且通过EDR技术检测的可能性增加。如果EDR在ESXi服务器和/或其客户VM上禁用或不存在,请启用或安装它。

妥协指标(IOCs)

URL (Tor/onion): nevcorps5cvivjf6i2gm4uia7cxng5ploqny2rgrinctazjlnqr2yiyd[.]onion/{victim ID}

MD5: 99549bcea63af5f81b01decf427519af (Windows) fb5dcf0b880b57b10a2093f164f2ed27 (Windows) 709ba88e758454f097959c3e62997000 (Windows) f1f569c6e4f961007f7411fca131bbe0 (Linux) 1396ab93e9104faaf138ac64211471ba (Linux)

网络融合中心正在做什么

CFC正在准备一个威胁狩猎活动,其中包括定期更新的与ESXi漏洞利用、Nevada locker相关的IOC,以及从内部事件响应参与中为类似活动制作的行为查询。您很快将在客户门户中看到完整详细信息。

更新

本文档中发布的信息将根据对所描述漏洞和勒索软件活动的持续研究进行更新。

来源

https://blog.ovhcloud.com/ransomware-targeting-vmware-esxi/ https://www.resecurity.com/blog/article/nevada-ransomware-waiting-for-the-next-dark-web-jackpot https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/ https://www.bleepingcomputer.com/forums/t/782193/esxi-ransomware-help-and-support-topic-esxiargs-args-extension/page-14#entry5470686 https://thehackernews.com/2023/02/new-wave-of-ransomware-attacks.html https://www.vmware.com/security/advisories/VMSA-2021-0002.html https://www.cve.org/CVERecord?id=CVE-2021-21974 https://www.vmware.com/security/advisories/VMSA-2021-0002.html https://censys.io/esxwhy-a-look-at-esxiargs-ransomware/ https://core.vmware.com/esxiargs-questions-answers – when-do-people-need-to-act https://thehackernews.com/2023/02/new-esxiargs-ransomware-variant-emerges.html

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次