2年前的老漏洞重現“江湖”

還帶來了全球大規模的勒索攻擊？！

人心惶惶如(rú)何防？看這篇就夠了！

近日，深信服千裡目安全技術(shù)中(zhōng)心在運營工作中(zhōng)發現了一種新的勒索軟件ESXiArgs，該勒索軟件于今年2月(yuè)開始大規模出現。截至2月(yuè)8日淩晨，基于censys統計數據，全球已受影響服務器(qì)有 2453 台，國内已受影響服務器(qì)數十台左右。多國網絡安全組織機構已對此發出警告。

VMware ESXi 是 VMware 開放的服務器(qì)資(zī)源整合平台，可(kě)實現用較少(shǎo)的硬件集中(zhōng)管理多台服務器(qì)，并提升服務器(qì)性能和(hé)安全性，大規模應用于國内全行業(yè)的虛拟化平台建設，可(kě)直接訪問(wèn)并控制底層資(zī)源。

據分析，攻擊者利用2年前發現的（已發布補丁，但客戶側未經修補） RCE 漏洞 CVE-2021-21974 将惡意文(wén)件傳輸至 ESXi 導緻 OpenSLP 服務中(zhōng)的堆溢出，從而獲得交互式訪問(wèn)，借以部署新的 ESXiArgs 勒索病毒。

【詳細分析文(wén)章請點擊：《ESXiArgs 勒索軟件攻擊之 VMware ESXi 服務器(qì)下(xià)的“天幕殺機”》】

國内存在該漏洞影響的服務器(qì)數量如(rú)下(xià)所示（基于shodan統計數據）：

勒索風險自查

步驟一：檢查/store/packages/目錄下(xià)是否存在vmtools.py後門文(wén)件。如(rú)果存在，建議立即删除該文(wén)件。

步驟二：檢查/tmp/目錄下(xià)是否存在encrypt、encrypt.sh、public.pem、motd、index.html文(wén)件，如(rú)果存在，應及時删除。

步驟一：立即隔離(lí)受感染的服務器(qì)，進行斷網；

步驟二：使用數據恢複工具恢複數據或重裝ESXi

美國CISA發布了 ESXiArgs 勒索軟件恢複腳本，相關(guān)鍊接如(rú)下(xià)：

https://github.com/cisagov/ESXiArgs-Recover

步驟三：重複“勒索風險自查”步驟；

步驟四：恢複修改後的部分文(wén)件

（1）查看/usr/lib/vmware目錄下(xià)的index.html文(wén)件是否為勒索信，如(rú)果是，立即删除該文(wén)件。

（2）查看/etc/目錄下(xià)是否存在motd文(wén)件，如(rú)果存在，立即删除。

根據外部情報調查顯示，該勒索攻擊利用ESXI的未修補漏洞CVE-2021-21974進行勒索病毒投放，并且VMware廠商(shāng)表示并沒有證據表明該勒索攻擊使用了0day。因而可(kě)以針對該漏洞進行預防。

（1）查看ESXi的版本

方式1：登陸EXSi後台，點擊幫助-關(guān)于，即可(kě)獲取版本号。

方式2：訪問(wèn)EXSi終端，輸入“vmware -vl”命令即可(kě)獲取版本号。

（2）查看OpenSLP服務是否開啟

訪問(wèn)EXSi終端，輸入“chkconfig --list | grep slpd”命令即可(kě)查看OpenSLP服務是否開啟。輸出“slpd on”為開啟，輸出“slpd off”則代表未開啟。

若ESXi版本在漏洞影響範圍内，且OpenSLP服務開啟，則可(kě)能受此漏洞影響。

加固方案1：升級ESXi至如(rú)下(xià)版本

ESXi7.0 版本:升級到 ESXi70U1c-17325551 版本及以上

ESXi6.7 版本:升級到 ESXi670-202102401-SG 版本及以上

ESXi6.5 版本:升級到 ESXi650-202102101-SG 版本及以上

加固方案2：在ESXi中(zhōng)禁用OpenSLP服務

禁用OpenSLP屬于臨時解決方案，該臨時解決方案存在一定風險，建議用戶可(kě)根據業(yè)務系統特性審慎選擇采用臨時解決方案：

1、使用以下(xià)命令在 ESXi 主機上停止SLP 服務：

/etc/init.d/slpd stop  

2、運行以下(xià)命令以禁用 SLP 服務且重啟系統後生效：

esxcli network firewall ruleset set -r CIMSLP -e 0 

chkconfig slpd off  

3、運行此命令檢查禁用 SLP 服務成功：

chkconfig --list | grep slpd  

若輸出slpd off 則禁用成功  

停止SLP服務後，運行攻擊腳本發現427端口已經關(guān)閉，漏洞無法進行利用。

本次事件是由于老漏洞被利用而引發的大規模勒索攻擊事件。面對這一類突發事件，深信服提供了一套長效治理的整體解決方案。

勒索入侵的方式多種多樣，最終會攻陷服務器(qì)或PC終端，因此要想實現更加可(kě)靠的攔截，必須在雲網端做到全方位保障。

深信服雲網端安全托管方案“見招拆招”，在終端和(hé)網絡針對勒索病毒複雜的入侵步驟打造了全生命周期防護，構建勒索風險有效預防、持續監測、高效處置的勒索病毒防禦體系。

在雲端，依托于安全托管服務MSS，雲端安全專家7*24小時監測分析，定期将最新漏洞态勢、全球勒索攻擊趨勢、行業(yè)運營經驗等賦能本地終端和(hé)網絡安全設備，并總結攻擊态勢和(hé)防護結果，形成可(kě)視化報表，提升安全效果和(hé)價值呈現。同時提供勒索理賠服務，為勒索防護兜底。

雲網端安全托管方案針對勒索攻擊，常态化構建整體防護體系，降低處置運維成本，緻力于讓用戶的安全體驗領先一步，安全效果領跑一路(lù)。

本次攻擊是日益猖獗的勒索攻擊對nday漏洞的利用，根據深信服勒索病毒态勢分析報告，有22.9%的勒索事件入侵是通(tōng)過高危應用漏洞攻擊，漏洞的威力不容小觑。因此對漏洞攻擊的精準有效攔截是打造網絡安全體系的“強大底座”。

深信服下(xià)一代防火牆具備豐富的威脅智能檢測引擎，包括IPS泛化檢測引擎、Web防護WISE語義引擎等，且擁有全面的Web攻擊防禦功能（支持13種主流Web攻擊類型），從而使産品整體安全漏洞攻擊攔截率達到99.7%，漏洞檢測效果獲得全球廠商(shāng)最高評分，并成為國内唯一以最高攻擊攔截率通(tōng)過CyberRatings AAA認證的防火牆産品。

此外，深信服下(xià)一代防火牆還搭載了全新人機識别技術(shù)Antibot，開啟後對訪問(wèn)請求進行主動(dòng)驗證，通(tōng)過漏洞掃描防護和(hé)防口令爆破，從源頭上防禦勒索入侵問(wèn)題。

同時，深信服AF可(kě)實現安全事件分鐘級告警、一鍵處置，通(tōng)過雲圖平台，采用微信即時通(tōng)訊方式，在發送安全事件後第一時間通(tōng)知安全運營人員，一鍵阻斷攻擊者後續入侵，提升安全響應效率。

作為勒索攻擊的最後一道防線，終端安全産品的重要性不言而喻。

在端點側，深信服終端安全管理系統EDR通(tōng)過一套平台架構面向PC、服務器(qì)，提供基于勒索病毒攻擊鍊為終端構建涵蓋“預防-防護-檢測響應”的4-6-5多層次立體防禦。包括勒索誘捕、微隔離(lí)、輕補丁漏洞免疫、RDP爆破防護，二次登陸防護等等。

基于國際知名攻擊行為知識庫 ATT&CK矩陣，深信服EDR對終端系統層、應用層的行為數據進行采集，覆蓋 163 項技術(shù)面，貼合實際攻擊場景，綜合研判更加精準，并通(tōng)過國際知名測評機構賽可(kě)達實驗室的能力認證。

通(tōng)過IOA+IOC 技術(shù)融合，EDR能夠将端側采集的行為數據結合業(yè)務環境關(guān)聯分析，重現威脅入侵事件場景，從場景層面抽絲剝繭，提升研判精準度。

雲端安全專家團隊結合數據自動(dòng)化聚合，對端側上報的海量數據進行分析，研判安全事件，精準定位威脅根因，快速響應。