新型勒索软件正攻击世界VMware ESXi 服务器

法国计算机紧急响应小组(CERT-FR) 近日发出警告，攻击者正通过一个远程代码执行漏洞，对全球多地未打补丁的 VMware ESXi 服务器部署新型ESXiArgs 勒索软件。

对此轮攻击的研究，重点并不在于围绕这个已揭露两年的漏洞，而在于新型勒索软件ESXiArgs的出现。根据Shodan 搜索，全球至少有 120 台 VMware ESXi 服务器已在此勒索软件活动中遭到破坏。

研究人员在BleepingComputer论坛分享了在检索 ESXiArgs 加密器和相关 shell 脚本副本后的发现，当服务器被破坏时，会在 /tmp 文件夹中存储如下文件：

encrypt- 加密器 ELF 可执行文件。

encrypt.sh- 作为攻击逻辑的 shell 脚本，在执行加密器之前执行各种任务。

public.pem- 用来加密文件的RSA公钥。

motd- 文本形式的赎金票据，将被复制到 /etc/motd，以便在登录时显示。服务器的原始文件将被复制到 /etc/motd1。

index.html- HTML 格式的赎金票据，将取代 VMware ESXi 的主页。服务器的原始文件将被复制到同一文件夹中的 index1.html。

在分析了加密器后，研究人员没能从中发现可破解的密码学漏洞。加密器使用OpenSSL的安全CPRNG RAND_pseudo_bytes生成32个字节的密钥，并使用安全流密码Sosemanuk加密文件。文件密钥用RSA（OpenSSL的RSA_public_encrypt）进行加密，并附加到文件的末尾。Sosemanuk 算法的使用相当独特，通常只用于从 Babuk（ESXi 变体）源代码派生的勒索软件。

此分析表明 ESXiArgs 可能采用了泄露的Babuk 源代码，该源代码之前已被其他 ESXi 勒索软件活动使用，例如 CheersCrypt 和 Quantum/Dagon 的 PrideLocker 加密器。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!