勒索軟體鎖定VMware ESXi下手
勒索軟體鎖定VMware ESXi下手來源:https://www.ithome.com.tw/news/147136
勒索軟體駭客對於虛擬化平臺的攻擊行動,先前已有資安業者提出警告,REvil、RansomExx、DarkSide、HelloKitty等駭客組織,都發展出針對VMware ESXi的勒索軟體。而最近有新的勒索軟體攻擊鎖定這類平臺,並且用相當快的速度加密檔案。資安業者Sophos在10月5日揭露一起使用Python指令碼(Script)的勒索軟體攻擊事故,攻擊者使用這些指令碼,鎖定組織內VMware ESXi環境,加密所有的虛擬磁碟。
使用遠端連線軟體TeamViewer入侵
研究人員指出攻擊者是透過未採用雙因素驗證的TeamViewer帳號,進入這個受害組織,並於背景中執行。而這個帳號的層級,是具備網域管理員權限的使用者。攻擊者約於凌晨零時30分登入,並在10分鐘後執行名為Advanced IP Scanner的工具,來探索目標組織的網路環境。但攻擊者取得管理者TeamViewer帳密的方法為何?Sophos沒有說明。
另一個關鍵:ESXi Shell
在接近凌晨2時的時候,攻擊者透過上述的IP位址掃描工具,找到組織裡的VMware ESXi伺服器,便下載名為Bitvise的SSH用戶端軟體來存取VMware ESXi伺服器。攻擊者能藉由SSH軟體存取此虛擬化平臺的前提,在於管理者必須啟用名為ESXi Shell的SSH服務,而這項服務預設為關閉,但為何受害組織會啟用ESXi Shell?Sophos根據調查結果指出,該組織的IT團隊會使用這項功能來管理VMware ESXi,他們看到在攻擊發生前啟用與停用該功能數次,但在最近一次開啟ESXi Shell之後,IT人員並未停用這項存取機制,而被攻擊者掌握並予以利用。不過,該組織沒有關閉ESXi Shell的原因,Sophos並未進一步說明。
詳情:
https://www.ithome.com.tw/news/147136
頁:
[1]