據(jù)BleepingComputer 2月3日消息，法國(guó)計(jì)算機(jī)緊急響應(yīng)小組(CERT-FR) 近日發(fā)出警告，攻擊者正通過(guò)一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，對(duì)全球多地未打補(bǔ)丁的 VMware ESXi 服務(wù)器部署新型ESXiArgs 勒索軟件。

據(jù)悉，該漏洞編號(hào)為CVE-2021-21974，由 OpenSLP 服務(wù)中的堆溢出問(wèn)題引起，未經(jīng)身份驗(yàn)證的攻擊者可以此進(jìn)行低復(fù)雜度攻擊。該漏洞主要影響6.x 版和 6.7 版本之前的 ESXi 管理程序，2021年2月23日 ，VMware曾發(fā)布補(bǔ)丁修復(fù)了該漏洞。對(duì)于還未打補(bǔ)丁的服務(wù)器，須在管理程序上禁用易受攻擊的服務(wù)定位協(xié)議 (SLP) 服務(wù)。

新型ESXiArgs 勒索軟件

對(duì)此輪攻擊的研究，重點(diǎn)并不在于圍繞這個(gè)已揭露兩年的漏洞，而在于新型勒索軟件ESXiArgs的出現(xiàn)。根據(jù)Shodan 搜索，全球至少有 120 臺(tái) VMware ESXi 服務(wù)器已在此勒索軟件活動(dòng)中遭到破壞。

BleepingComputer 發(fā)現(xiàn)，勒索軟件在受感染的 ESXi 服務(wù)器上使用 .vmxf、.vmx、.vmdk、.vmsd 和 .nvram 擴(kuò)展名加密文件，并為每個(gè)包含元數(shù)據(jù)（可能需要解密）的加密文檔創(chuàng)建了一個(gè).args文件。雖然攻擊者聲稱(chēng)竊取了數(shù)據(jù)，但有受害者反饋，通過(guò)對(duì)有超過(guò)500GB數(shù)據(jù)的服務(wù)器的流量分析，被攻擊期間使用量?jī)H為 2 Mbps。在審查了過(guò)去 90 天的流量統(tǒng)計(jì)數(shù)據(jù)后，沒(méi)有發(fā)現(xiàn)出站數(shù)據(jù)的證據(jù)轉(zhuǎn)移，因而認(rèn)為數(shù)據(jù)沒(méi)有被滲透。

有受害者還在鎖定的系統(tǒng)上發(fā)現(xiàn)了名為“ransom.html”和“How to Restore Your Files.html”的贖金票據(jù)。其他受害者則反饋他們的票據(jù)是明文文件。

ESXiArgs 贖金票據(jù)

技術(shù)細(xì)節(jié)

研究人員在BleepingComputer論壇分享了在檢索 ESXiArgs 加密器和相關(guān) shell 腳本副本后的發(fā)現(xiàn)，當(dāng)服務(wù)器被破壞時(shí)，會(huì)在 /tmp 文件夾中存儲(chǔ)如下文件：

• encrypt- 加密器 ELF 可執(zhí)行文件。
• encrypt.sh- 作為攻擊邏輯的 shell 腳本，在執(zhí)行加密器之前執(zhí)行各種任務(wù)。
• public.pem- 用來(lái)加密文件的RSA公鑰。
• motd- 文本形式的贖金票據(jù)，將被復(fù)制到 /etc/motd，以便在登錄時(shí)顯示。服務(wù)器的原始文件將被復(fù)制到 /etc/motd1。
• index.html- HTML 格式的贖金票據(jù)，將取代 VMware ESXi 的主頁(yè)。服務(wù)器的原始文件將被復(fù)制到同一文件夾中的 index1.html。

在分析了加密器后，研究人員沒(méi)能從中發(fā)現(xiàn)可破解的密碼學(xué)漏洞。加密器使用OpenSSL的安全CPRNG RAND_pseudo_bytes生成32個(gè)字節(jié)的密鑰，并使用安全流密碼Sosemanuk加密文件。文件密鑰用RSA（OpenSSL的RSA_public_encrypt）進(jìn)行加密，并附加到文件的末尾。Sosemanuk 算法的使用相當(dāng)獨(dú)特，通常只用于從 Babuk（ESXi 變體）源代碼派生的勒索軟件。

此分析表明 ESXiArgs 可能采用了泄露的Babuk 源代碼，該源代碼之前已被其他 ESXi 勒索軟件活動(dòng)使用，例如 CheersCrypt 和 Quantum/Dagon 的 PrideLocker 加密器。

加密器由一個(gè) Shell 腳本文件執(zhí)行，該腳本文件使用各種命令行參數(shù)啟動(dòng)，包括公共 RSA 密鑰文件、要加密的文件、不會(huì)加密的數(shù)據(jù)塊、加密塊的大小和文件尺寸。加密器使用 encrypt.sh shell 腳本啟動(dòng)，該腳本充當(dāng)攻擊背后的邏輯。啟動(dòng)時(shí)，腳本將執(zhí)行以下命令來(lái)修改 ESXi 虛擬機(jī)的配置文件 (.vmx)，以便將字符串“ .vmdk” 和“ .vswp” 更改為“ 1.vmdk” 和“ 1.vswp ”。

修改VMX文件

接下來(lái)，該腳本將強(qiáng)制結(jié)束 (kill -9) 所有包含字符串“ vmx ”的進(jìn)程，從而終止所有正在運(yùn)行的虛擬機(jī)。隨后將使用“esxcli storage filesystem list | grep "/vmfs/volumes/" | awk -F'  ' '{print $2}”命令獲取 ESXi卷列表，搜索與.vmdk、.vmx、.vmxf、.vmsd、.vmsn、.vswp、.vmss、.nvram、.vmem擴(kuò)展名匹配的文件。每找到一個(gè)文件，腳本將在同一文件夾中創(chuàng)建一個(gè) [file_name].args 文件，其中包含計(jì)算出的大小步長(zhǎng)、“1”和文件大小，例如，server.vmx 將有一個(gè)關(guān)聯(lián)的 server.vmx.args 文件。之后，腳本將使用'encrypt'可執(zhí)行文件，根據(jù)計(jì)算出的參數(shù)對(duì)文件進(jìn)行加密。

創(chuàng)建.args文件和加密文件的例程

加密后，腳本將用贖金票據(jù)替換 ESXi index.html 文件和服務(wù)器的 motd 文件。最后，該腳本將刪除似乎安裝到/store/packages/vmtools.py[ VirusTotal ] 的后門(mén)，并從以下文件中刪除多行：

/var/spool/cron/crontabs/root
/bin/hostd-probe.sh
/etc/vmware/rhttpproxy/endpoints.conf
/etc/rc.local.d/local.sh

清理各種 Linux 配置文件和潛在后門(mén)

這種清理和對(duì) /store/packages/vmtools.py的應(yīng)用與瞻博網(wǎng)絡(luò)（juniper）在 2022 年 12 月觀察到的 ESXi 服務(wù)器的自定義 Python 后門(mén)非常相似 。為此所有服務(wù)器管理員都應(yīng)該檢查此 vmtools.py 文件是否存在，以確保它已被刪除。