神魂顛倒論壇

 取回密碼
 加入會員
搜尋
檢視: 4107|回覆: 0
收起左側

[安全資訊] 勒索軟體鎖定VMware ESXi下手

[複製連結]
發表於 2021-10-18 12:39:59 | 顯示全部樓層 |閱讀模式
勒索軟體鎖定VMware ESXi下手

來源:https://www.ithome.com.tw/news/147136

勒索軟體駭客對於虛擬化平臺的攻擊行動,先前已有資安業者提出警告,REvil、RansomExx、DarkSide、HelloKitty等駭客組織,都發展出針對VMware ESXi的勒索軟體。而最近有新的勒索軟體攻擊鎖定這類平臺,並且用相當快的速度加密檔案。資安業者Sophos在10月5日揭露一起使用Python指令碼(Script)的勒索軟體攻擊事故,攻擊者使用這些指令碼,鎖定組織內VMware ESXi環境,加密所有的虛擬磁碟。

使用遠端連線軟體TeamViewer入侵

研究人員指出攻擊者是透過未採用雙因素驗證的TeamViewer帳號,進入這個受害組織,並於背景中執行。而這個帳號的層級,是具備網域管理員權限的使用者。攻擊者約於凌晨零時30分登入,並在10分鐘後執行名為Advanced IP Scanner的工具,來探索目標組織的網路環境。但攻擊者取得管理者TeamViewer帳密的方法為何?Sophos沒有說明。

unnamed (1).jpg

另一個關鍵:ESXi Shell

在接近凌晨2時的時候,攻擊者透過上述的IP位址掃描工具,找到組織裡的VMware ESXi伺服器,便下載名為Bitvise的SSH用戶端軟體來存取VMware ESXi伺服器。攻擊者能藉由SSH軟體存取此虛擬化平臺的前提,在於管理者必須啟用名為ESXi Shell的SSH服務,而這項服務預設為關閉,但為何受害組織會啟用ESXi Shell?Sophos根據調查結果指出,該組織的IT團隊會使用這項功能來管理VMware ESXi,他們看到在攻擊發生前啟用與停用該功能數次,但在最近一次開啟ESXi Shell之後,IT人員並未停用這項存取機制,而被攻擊者掌握並予以利用。不過,該組織沒有關閉ESXi Shell的原因,Sophos並未進一步說明。

1115.jpg

vmware-vsphere-7.0-u1d更新-640x274.jpeg

詳情:
https://www.ithome.com.tw/news/147136



teamviewer-logo.png
您需要登入後才可以回帖 登入 | 加入會員

本版積分規則

Archiver|手機版|小黑屋|Flash2u論壇

GMT+8, 2024-11-24 06:38 , Processed in 0.099084 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回覆 回到頂端 返回清單