一、概 述

《中華人民共和國數據安全法》于今日起（2021年9月1日）正式施行，這是一部數據領域的基礎性法律，也是國家安全領域的一部重要法律。數字化改革推動著國家生產模式的變革，隨著經濟數字化、政府數字化、企業數字化的建設，數據已經成為我國政府和企業最為核心的資產之一。而針對這些核心數據資產的網絡攻擊卻逐年遞增，除了越來越頻繁的數據泄露安全事件外，日益猖獗的勒索攻擊是數據安全面臨的最為嚴重且危險的威脅，其具有破壞性大、匿名性高、恢復難等特點。一旦數據資產遭到攻擊，除了大量寶貴的數據被破壞外，還會導致工廠停工停產（如：富士康勒索攻擊導致停工的事件），甚至會威脅到國家安全（如：燃油管道公司Colonial Pipeline勒索攻擊事件）。

目前，勒索組織普遍利用漏洞或者人工滲透的手段進入企業/組織內部系統，并在其中植入勒索病毒，并利用勒索病毒對其企業的重要數據資產進行加密然后實施贖金勒索。僅今年以來，就出現了多起重大的勒索病毒攻擊事件。5月份，美國最大的燃油管道公司Colonial Pipeline遭遇勒索病毒攻擊，從而導致美國東部17個州和首都所在的華盛頓特區宣布進入緊急狀態；7月份，美國IT管理軟件制造商Kaseya受到供應鏈攻擊，黑客利用其軟件中存在的漏洞向其客戶發送勒索軟件，超過1500家企業受到勒索攻擊影響。

隨著市場和技術的變革，勒索組織也在不斷尋求新的攻擊目標和攻擊手段以獲取更豐厚的贖金。據調查發現，自去年開始，勒索組織將目標擴展到了VMware的企業產品vSphere中并且對相應勒索軟件進行針對性升級以適配針對VMware虛擬機的勒索。到目前為止，多家使用vSphere的企業已經遭到勒索，由于使用vSphere的企業需要在VMware ESX/ESXi主機上部署多臺虛擬機以滿足日常的服務器或數據庫需求，勒索組織只要設法登錄到企業的VMware ESX/ESXi主機，就能部署勒索軟件對主機上的多臺虛擬機源文件進行加密實施勒索。與以往傳統的勒索攻擊不同，以往的勒索攻擊僅僅是針對某臺或數臺服務器中的部分重要數據加密，而系統依舊可以正常運行；而針對vSphere的勒索攻擊可直接加密VMware ESX/ESXi主機中的所有的虛擬機源文件，這將直接導致數臺工作服務器或數據庫服務器無法正常運行，使企業/組織的主要業務中斷甚至系統癱瘓，這對企業/組織來說將是致命的打擊。

勒索攻擊已經成為各大企業/組織的重要網絡安全威脅來源，這種新流行的針對vSphere的勒索攻擊將帶來比以往的勒索攻擊更大的威脅。本文對“針對VMware vSphere的勒索攻擊”進行了全面地分析，通過結合技術背景和相關事件活動分析了勒索組織將攻擊目標擴展到VMware vSphere的原因，并且根據相關攻擊樣本的分析揭露了此類勒索攻擊的勒索流程，同時根據相關材料為廣大企業/組織提供了相關的防御建議。

二、攻擊目標：vSphere

VMware vSphere（簡稱vSphere）是VMware旗下的一整套云計算基礎架構虛擬化平臺，自發布更新以來在全球已經擁有超過250000客戶，其客戶包括政府、軍隊、醫療、能源、交通、教育等在內的基礎設施領域，如圖1所示；同時，谷歌云、阿里云、亞馬遜云等云服務提供廠商均對客戶提供完整的vSphere虛擬化服務，相關市場也同樣龐大，如圖2所示。擁有如此龐大的市場，vSphere被勒索組織盯上也不足為奇，但是其客戶幾乎涵蓋所有領域，一旦產品出現漏洞被攻擊者利用導致主機被勒索病毒攻擊，不僅將造成財產損失，更有可能直接威脅國家安全。

圖1. vSphere的客戶領域分布

圖2. 云服務商提供VMware服務示例

VMware ESX/ESXi（簡稱ESX/ESXi）是vSphere的核心組件之一。在vSphere中，ESX/ESXi是一個虛擬機管理程序，用于創建、運行和管理虛擬機進程的中間軟件層，運行在基礎物理服務器和操作系統之間，并且允許多個操作系統共享主機硬件。其實，ESX/ESXi并不依賴其它操作系統，而是直接安裝在物理設備上，然后以ISO 的形式提供服務；用戶直接在ESX/ESXi中創建、運行和管理自己的虛擬機，如圖3所示。

在實際場景中，企業為了提高性能和成本效益同時實現簡化數據中心和方便大規模管理，往往會在一臺ESX/ESXi服務器中部署數臺甚至數十臺虛擬機作為日常的工作服務主機或者數據庫。所以，ESX/ESXi主機中會保存著與它在同一物理主機上的其他虛擬機的源文件以便對這些虛擬機進行管理，它就好比存放著數臺服務器的機房，如果機房被人劫持，將對一個企業或組織造成難以估量的損失，這也是ESX/ESXi主機會成為勒索組織攻擊目標的主要原因之一；另一個原因則是，ESX/ESXi上部署的服務器/數據庫可能需要向客戶提供服務，這也使得攻擊者有機會直接從網絡接觸到VMware ESX/ESXi主機，為攻擊者提供了入侵的可能性。VMware公司當然也非常清楚其產品安全的重要性，vSphere 5.0 之前的版本中均采用ESX體系結構來實現對虛擬機的管理，ESX是依賴于Linux的控制臺操作系統 (COS) 來實現可維護性和基于代理的合作伙伴集成的，而Linux作為開源系統，與Linux相關的漏洞在各大安全社區和地下產業中層出不窮，這將VMware ESX架構置于一個高風險處境；為了提高基礎架構的安全性，vSphere 5.0之后的版本中則采用了獨立于操縱系統的新 ESXi 體系結構，并且在自己研發的核心 VMkernel 中實現了必備的虛擬機管理功能，這也就規避了與通用操作系統相關的安全漏洞引發的安全風險。

圖3. VMware ESX/ ESXi 工作結構

VMware vCenter Server（簡稱vCenter Server）是vSphere的另外一個核心組件，它是一個可以幫助用戶管理多個VMware虛擬化平臺的軟件，需要單獨安裝在一臺服務器中。在vSphere中，用戶可以將多個ESX/ESXi 主機添加到vCenter Server 管理平臺中，然后通過vCenter Server管理ESX/ESXi主機和其中創建的所有虛擬機，整個工作結構如圖4所示。雖然目前發現的勒索軟件針對的是ESX/ESXi主機，但vCenter Server可以直接管理ESX/ESXi多臺主機。如果vCenter Server存在漏洞被攻擊者利用，那么就無疑將數臺ESX/ESXi主機的大門向攻擊者敞開，攻擊者可以肆意在ESX/ESXi中部署勒索軟件，其后果的嚴重性可想而知。

圖4. vCenter Server 工作結構

三、 針對vSphere勒索的相關活動

病毒勒索作為近年來流行的網絡攻擊手段，逐漸獲得黑客團伙青睞，越來越多的勒索組織出現在大眾視野，各大病毒勒索事件也逐漸占據了重大網絡攻擊事件的頭版頭條。近幾年，勒索攻擊事件層出不窮，對受害企業/組織造成重大財產損失，勒索病毒已經成為各政府部門、組織和企業需要面臨的重要網絡危害之一。自去年開始，勒索組織逐漸開始把目標延伸到VMware vSphere平臺上，通過對其中ESX/ESXi服務器上的數臺虛擬機系統文件進行加密從而向受害組織/企業勒索高額的贖金。去年7月，Sprite Spider勒索組織就開始對其勒索軟件進行升級，使其在檢測到ESXi主機后部署RansomEXX惡意程序試圖竊取登錄憑證向vCenter進行身份認證；同樣對勒索軟件進行ESX/ESXi針對性升級的還有勒索組織carbon spider、BabukLocker、REvil和BlackMatter。自去年開始，針對VMware虛擬機的勒索病毒攻擊事件也開始頻發，去年11月巴西高等法院（STJ）受到大規模 RansomExx 勒索軟件攻擊，超過1000臺虛擬機文件被加密，此次事件與7月份進行VMware ESX/ESXi軟件升級的Sprite Spider勒索組織是否有關聯，我們無從得知；不僅國外用戶遭遇了針對VMware ESX/ESXi的勒索攻擊，國內用戶同樣也遭遇了此類攻擊，在今年3月，國內某公司運維人員發現公司內部VMware ESXi主機上大量虛擬機文件被加密，我們整理的相關的事件時間線如圖5。

圖5. 勒索病毒針對vSphere相關事件時間線

從去年開始，IABs團隊逐漸與勒索病毒一起進入公眾的視野。IABs團隊作為網絡攻擊地下產業的長期活躍參與者，通過在各大論壇出售主機權限來獲取利益，它們將受害者主機的root權限出售給其他網絡攻擊從業者，由其他網絡攻擊者開展下一步的攻擊活動，IABs團隊并不直接參與攻擊，這也減少了它們被其他執法機構追蹤的風險。在以往的勒索攻擊中，我們無法確定勒索組織是否是從IABs團隊手中購買受害者主機權限，勒索組織與IABs團隊合作這種模式可能早已出現，但是這種合作模式正在逐漸被各個勒索組織采用：據消息稱，美國最大燃油管道勒索事件中的主角DarkSide在勒索美國石油管道運營商Colonial Pipeline之前就曾在地下論壇發文尋找能夠讓其接觸到市值4億美元公司的IABs合作，如圖6，美國燃油管道勒索事件是否有IABs團隊參與，我們無從考證；另外，在地下論壇中，我們也觀察到有多個IABs正在尋求勒索團隊合作并出售vCenter/ESXi的Root權限，如圖7。

圖6. DarkSide尋求與IABs團隊合作

圖7. IABs團隊尋求與勒索組織合作

四、 針對vSphere勒索的原因分析

眾多勒索組織開始將目標延伸到vSphere平臺上，無非是為了加密更多更重要的數據以勒索更高額的贖金。針對vSphere平臺的勒索攻擊，能夠使勒索組織像控制一間企業服務器的機房一樣對數臺服務器進行控制，攻擊者對這些虛擬機的源文件進行加密，可能直接造成數據庫被加密、對外提供服務中斷甚至公司系統癱瘓，勒索組織往往開出更高額的贖金。如此釜底抽薪的勒索方式，讓受害者企業/組織短時間難以應付，極大地增加了勒索攻擊的成功率和收益。其實，隨著互聯網技術的革新，勒索組織一直在不斷尋找新的攻擊目標和攻擊手段，勒索組織做出 “針對vSphere平臺攻擊” 的這種改變并非偶然，結合相關資料，我們將在本章對勒索組織的這種改變進行一個原因分析。

背景條件：隨著互聯網技術的快速更新，網絡用戶量劇增，各個政府部門、組織和企業對計算資源和存儲資源的需求驟增；云計算和虛擬技術的興起讓各大云服務提供商和虛擬化技術公司為各個政府部門、組織和企業提供了定制化資源服務和虛擬化解決方案以滿足日常資源需求。VMware作為云服務和虛擬化領域的領頭企業，其客戶幾乎涵蓋所有領域；除此之外，各大云服務提供商也為其客戶提供間接的VMware虛擬化服務，從圖8 “2020年服務器虛擬化市場分布” 中可以看出，VMware已經成為虛擬化市場的絕對霸主。針對VMware vSphere進行勒索可以擁有眾多勒索對象，同時能夠通過虛擬化平臺vSphere控制企業/組織的大量數字資產，極大地提高了勒索的收益和成功率。

圖8. 2020年服務器虛擬化解決方案的業務市場分布（來源：spiceworks）

技術條件：2019年底和2020年，VMware分別發布安全通告修復了多個產品漏洞，其中VMware ESXi的兩個漏洞CVE-2019-5544和CVE-2020-3992將導致VMware ESXi服務器上的遠程代碼執行，VMware已經對這兩個漏洞進行了評估，并定級為嚴重，CVSSv3 評分 9.8。這兩個漏洞將影響多個版本的VMware vSphere用戶，隨后VMware提供修復補丁，但仍有大批客戶因為各種原因并未對其使用的ESX/ESXi進行補丁，這為攻擊者提供了便捷的入侵VMware ESX/ESXi主機的方法和手段。

外部條件：自2020年起，IABs也將其目標擴展到了VMware vSphere平臺上。對大部分勒索組織來說，與IABs合作是一項共贏的選擇,因為從IABs手上購買ESX/ESXi主機權限的價格也僅僅只是贖金的極小部分，通過這種方式，他們能夠省去大量的人力、時間、資源去獲取ESX/ESXi主機的Root權限，直接通過購買的主機Root權限進行受害者主機登錄，然后開始部署勒索軟件進行勒索。同時，我們觀察到有IABs（Initial access brokers）開始在地下黑客論壇上以250美金到500美金之間價格出售ESX/ESXi的Root權限，并展示出更多關于受害主機的信息來吸引客戶購買，比如地區信息、權限信息、CPU信息、硬盤信息等，如圖9所示，國內某用戶的VMware ESX主機的Root權限在地下黑客論壇被出售。

圖9. IABs在地下論壇上售賣ESX權限

五、 針對vSphere的勒索樣本分析

自去年開始，各大勒索組織開始發布針對VMware vSphere虛擬平臺版本的勒索程序，已經有多家企業/組織遭到攻擊并且損失慘重。在本小節中，我們將以ADLab對勒索家族的持續研究為基礎，結合部分國外安全廠商對此類攻擊活動的披露來對部分勒索組織的樣本進行分析，同時結合實際攻擊案例對此類攻擊的攻擊流程進行了總結。如圖10，在實際場景中，ESX/ESXi主機上會部署多臺虛擬機對普通用戶提供基本服務，如果配置不當，普通用戶能通過網絡能訪問ESX/ESXi主機，這就會給黑客提供可乘之機；通常情況下，黑客首先會在地下論壇中尋求指定版本的ESX/ESXi漏洞利用程序或root登錄權限，當獲取到漏洞利用程序或root登錄權限后，黑客就能直接入侵ESX/ESXi主機并且在其中部署勒索軟件對其中的虛擬機進行加密并勒索贖金。從圖中可以看出，如果勒索攻擊對象是云服務提供商/虛擬服務提供商的ESX/ESXi主機，那么該提供商的眾多客戶都將受到影響，大面積的企業用戶主機將遭到勒索病毒感染，這將帶來與今年美國IT管理軟件制造商Kaseya遭到的供應鏈式勒索攻擊相似的結果，而Kaseya的勒索攻擊已經感染了超過100萬個系統，超過1500家企業受到影響。

圖10. 針對vSphere虛擬平臺的勒索攻擊場景

接下來，我們將對部分勒索組織的樣本進行詳細技術分析，通過橫向比對，可以總結出這些針對VMware vSphere虛擬平臺勒索程序的執行特點：通常情況下，勒索軟件首先會使用ESX/ESXi的esxcli指令查找虛擬機進程；然后，惡意程序會使用esxcli指令關閉虛擬機，這一步通常是為了防止對虛擬機文件進行加密時對虛擬機原文件造成破壞，從而導致加密失??；接下來，惡意程序將在指定路徑下進行虛擬機相關文件搜索（通常包含虛擬機虛擬磁盤文件vmdk、虛擬機虛擬內存文件vmem、虛擬機頁交換文件vswp，日志文件log、虛擬機快照文件vmsn等）；最后，惡意程序將對搜索到的虛擬機相關文件進行加密，同時告知受害者繳納贖金。

5.1 DarkSide

DarkSide勒索軟件最早于2020年8月被發現，是一支非?；钴S的新興勒索團伙。DarkSide組織自2020年8月開始頻繁活動，并在今年5月攻擊了美國最大的燃油管道公司Colonial Pipeline，導致美國東部沿海主要城市輸送油氣的管道系統被迫下線，17個州和首都所在的華盛頓特區宣布進入緊急狀態，引起了巨大的轟動和全球的關注。最終，Colonial Pipeline支付了近75比特幣（約合近500萬美元）才使數據得以恢復，運輸工作正常運行。同時我們也發現，DarkSide在去年就已經具備攻擊ESXi的功能。

樣本技術分析

為了更好地加密虛擬機，DarkSide使用了許多ESXi上獨有的esxcli命令，如在加密虛擬機前會使用esxcli命令來遍歷出ESXi上正在運行的虛擬機。

除了以上命令，在DarkSide還用了許多esxcli命令，具體如下表所示：

DarkSide通過遍歷文件，并且判斷文件后綴是否為vmdk（虛擬機虛擬磁盤文件），vmem（虛擬機虛擬內存文文件），vswp（虛擬機頁交換文件），log（日志文件），vmsn（虛擬機快照文件）來決定是否進行加密，加密成功后會在原文件后綴后加入darkside。

最后，DarkSide會留下勒索信警告受害者，并且在信中留下還原數據的方式以及交贖金的地址 

5.2 REvil

REvil也被稱為Sodinokibi，是一個臭名昭著的勒索團伙，其攻擊最早可以追溯到2019年4月。該勒索團伙作案頻繁，并曾攻擊過多個大型公司如美國領先的視頻傳輸提供商SeaChange International、著名硬件和電子公司宏基公司、全球再生能源巨擘Invenergy公司、全球最大肉類供應商JBS公司。而在今年7月美國遠程IT管理軟件廠商Kaseya也遭受到了REvil的攻擊，導致全球超過10000家的Kaseya客戶，其中包括50%以上的全球100強IT管理服務提供商及各大龍頭受到勒索攻擊的風險。據稱此次攻擊是REvil有史以來規模最大的一次攻擊，據其官網宣稱，他們已經鎖定了超過100萬個系統，并向Kaseya索取70000000美元的贖金。而在今年5月，我們觀察到REvil運營商在地下黑客論壇上發布了針對Vmware ESXi的Linux版本。

樣本技術分析

為了避免虛擬機相關的文件受到不必要的損壞，REvil在加密前也同樣會先關閉ESXi上正在運行的虛擬機，但與DarkSide不同的是REvil先使用pkill -9的命令關閉與虛擬機相關的進程。

然后REvil使用excli命令遍歷出所有正在運行的ESXi虛擬機并且關閉它們，使用此命令會關閉存儲在 /vmmfs/ 文件夾中的虛擬機磁盤 (VMDK) 文件，防止REvil對這些文件進行加密時因為被 ESXi 鎖定而導致加密失敗。

與其他針對ESXi的勒索軟件不同的是，REvil不會對虛擬機文件的后綴進行判斷，而是對加密路徑下所有的文件都進行加密，并判斷該文件是否已經被加密了和是否具有RWX權限或者RW權限（如果具有這些權限，則這些文件是被系統保護的）來決定是否進行加密。 

最后，REvil留下勒索信警告受害者并且在信中留下還原數據的方式以及交贖金的地址。

圖20. REvil的勒索信

5.3 HelloKitty

HelloKitty勒索軟件攻擊活動最早可以追溯到2020年，主要針對Windows系統。其在2021年2月攻擊了CD Projekt Red公司并聲稱竊取了該公司出品的“Cyberpunk 2077”、“Witcher 3”、“Gwent ”和其他游戲的源代碼。而在今年7月，我們觀察到該木馬的Linux變體開始針對Vmware ESXi進行攻擊。其中，被攻擊的目標包括意大利和荷蘭的制藥公司、一家德國制造商、一家澳大利亞提供工業自動化解決方案的公司以及美國一家醫療辦公室和股票經紀人。在贖金方面，攻擊者會因攻擊目標公司的規模不同，而要求支付不同金額的贖金，其勒索的贖金最高可達1000萬美金。

樣本技術分析

HelloKitty勒索軟件首先會使用esxcli命令來遍歷出當前受感染機器上正在運行的虛擬機進程，并嘗試關閉這些虛擬機。為了避免虛擬機相關的文件遭到不必要的損壞，該病毒在加密文件前會先將虛擬機關閉。

該勒索軟件首次關閉虛擬機，會使用軟終止來結束該進程。

命令：esxcli vm process kill -t=soft -w=%d

如果仍有虛擬機正在運行，該病毒將會使用硬終止來結束該進程。

命令：esxcli vm process kill -t=hard -w=%d

如果還有虛擬機未被關閉，則會使用強制終止來結束該進程。

5.4 BlackMatter

2021年7月，一個名為BlackMatter的新勒索軟件組織正在購買企業網絡的訪問權限，同時聲稱其項目已將REvil和DarkSide的最佳功能融入其中。BlackMatter還表示，他們的勒索軟件適用于多種不同的操作系統版本和架構，并以多種格式提供。包括支持安全模式的Windows變體（Windows Server2003+x86/x64和Windows7+x86/x64）和支持NAS的Linux變體（ESXI5+、Ubuntu、Debian和CenOs），且這些變體在相同系統上均已測試成功。

樣本技術分析

BlackMatter在ESXI服務器上運行時，其首先使用esxcli命令列出所有正在運行的VMware虛擬機。

接著，BlackMatter會獲取當前系統所有正在運行的進程，并將這些進程強制結束。 

六、 總結與建議

針對虛擬化平臺VMware vSphere的勒索攻擊成為勒索組織的新型攻擊方向，本文從多個角度對此類攻擊進行了綜合分析。針對虛擬化平臺VMware vSphere的勒索攻擊可能會更加頻繁：首先，攻擊者對虛擬機管理平臺的ESX/ESXi主機進行感染后可以對其中的數臺虛擬機源文件進行加密，將直接影響受害企業/組織的多臺應用服務器/數據庫，這種方式控制了更加重要企業/組織的數字資產，能夠勒索更高額的贖金并且大大提高成功率，這正是勒索組織的核心目的；其次，越來越多的黑客將目標轉向了VMware vSphere，相關的安全漏洞頻頻被發現，但許多客戶由于各種原因限制并未能及時補丁，這也為勒索組織入侵到企業的ESX/ESXi主機提供了便利；另外，IABs團隊在地下論壇中針對VMware vSphere的活動也越加頻繁，同時它們也在積極尋求與勒索組織進行合作，IABs團隊能夠提供專業ESX/ESXi主機的入侵服務，它與勒索組織的合作將會把針對vSphere的勒索攻擊推上新一輪的高潮。

可以看出，隨著互聯網技術的不斷革新和市場的變化，勒索組織也在不斷擴展它們的攻擊方向和尋求更有效的攻擊手法，以便在勒索攻擊中獲取更高額的贖金同時大幅提高勒索的成功率。VMware vSphere只是眾多虛擬化平臺的其中一個，只是由于它的市場龐大，成為了攻擊者的首選目標；隨著時間的推移，其他虛擬化平臺如：Microsoft、Oracle和Red Hat等很可能會成為攻擊者的新目標，各大企業/組織應當注意提前做好針對性防御。針對vSphere虛擬平臺的勒索攻擊將對受害者企業帶來難以估量的損失，我們將結合本文的分析和相關資料向vSphere用戶提出下面幾條針對性防御建議：

建議使用 TPM 2.0 芯片進行vSphere進行安全配置。

在物理服務器上啟用UEFI安全啟動功能，通過確保在引導中加載的所有代碼都經過數字簽名且未被篡改，從而加強操作系統的安全性。

禁止在ESX/ESXi主機上執行自定義代碼，保證ESX/ESXi主機拒絕執行任何未通過認證合作伙伴簽名的 VIB 包安裝的代碼。

當vSphere平臺相關的產品存在安全補丁發布時，積極參與系統及相關的虛擬化平臺組件（vCenter服務器、ESX/ESXi主機、VMware工具等）的更新。

對虛擬機平臺的管理賬戶使用高強度密碼。

在內部網絡中進行網絡區域劃分，將對外服務的主機和僅內部訪問的主機進行分開管理，并且為虛擬平臺管理員提供專用的vCenter服務器和ESX/ESXi管理接口以及專用的工作站。

配置集中式的記錄日志，防止管理系統配置和環境遭到篡改。

盡可能高頻率地進行系統備份，以便在遭到勒索攻擊后能盡快地實現系統恢復。