恶意家族名称:
ESXiArgs
威胁类型:
勒索事件
简单描述:
近期一款新的针对 VMware ESXi 服务器勒索软件正在全球范围内大规模传播,攻击者采用 2021 年的远程代码执行漏洞 CVE-2021-21974 获得交互式访问,借以部署新的 ESXiArgs 勒索软件。
恶意文件分析
恶意文件描述
近期,深信服深盾终端实验室在运营工作中发现了一种新的勒索软件 ESXiArgs ,该勒索软件于今年2月开始大规模出现。攻击者利用两年前未经修补的 RCE 漏洞 CVE-2021-21974 将恶意文件传输至 ESXi 导致 OpenSLP 服务中的堆溢出。
漏洞利用
该漏洞与 OpenSLP 相关,通过 427/UDP 进行攻击,未经身份验证的威胁参与者可以利用该漏洞在低复杂性攻击中获得远程代码执行。截止本文发布,基于censys统计数据全球已受影响服务器有 2453 台,国内已受影响服务器大概数十台左右。
CVE-2021-21974 漏洞影响以下版本:
ESXi70U1c-17325551之前的ESXi 7.x版本 ESXi670-202102401-SG之前的ESXi 6.7.x版本 ESXi650-202102101-SG之前的ESXi 6.5.x版本
受 ESXiArgs 影响 ESXi 服务器涉及版本集中在 6.7.0、6.5.0、6.0.0、5.5.0。此外 VMware 关于 CVE-2021-21974 的官方公告并没有具体说明 6.0.0 和 5.5.0 版本是受影响的版本,但是,根据网络空间测绘数据统计该版本明确被攻击。
国内存在该漏洞影响的服务器数量如下所示(基于censys统计数据):
版本 |
数量统计 |
ESXi 6.5 |
715 |
ESXi 6.7 |
3184 |
ESXi 7.0 |
1271 |
ESXi 6.0.0 |
665 |
ESXi 5.0.0 |
342 |
该漏洞在2021年已及时进行响应,相关链接如下所示:
【漏洞更新】VMware ESXi OpenSLP堆溢出漏洞 CVE-2021-21974
恶意文件分析
通过分析发现与该勒索行为相关的文件共有5个,位于受害服务器中的/tmp/文件夹下,相关恶意文件及描述如下所示:
encrypt– 加密器(ELF可执行文件) encrypted.sh – 执行加密器之前的功能文件 public.pem – 用于加密文件的RSA加密算法中的公钥 motd——文本格式的勒索信文件 index.html – html格式的勒索信文件
该样本使用参数进行启动,在程序启动初始阶段便会对参数进行强校验,样本通过正确参数启动后便会进行后续操作,勒索信文件名为 “How to Restore Your Files.html”, 指示受害者通过 TOX_ID 与攻击者取得联系,以恢复加密文件或防止数据被泄露。
转自: 深信服千里目安全技术中心