注意了，針對(duì) VMware vSphere 的勒索病毒正在嘗試著攻擊，它們似乎正在尋找機(jī)會(huì)和積累經(jīng)驗(yàn)。

2021 年 3 月 15 日，一篇關(guān)于 VMware vSphere 被勒索病毒攻擊的博客文章（小岑博客）引起了行業(yè)人士的廣泛關(guān)注。文章詳細(xì)介紹了虛擬機(jī)被勒索病毒攻擊后，出現(xiàn)了大量虛擬機(jī)關(guān)閉，虛擬機(jī)處于關(guān)機(jī)，并處于無(wú)法連接狀態(tài)，用戶生產(chǎn)環(huán)境停線等嚴(yán)重問(wèn)題。

據(jù)博主透露，VMware vSphere 集群僅有 vCenter 處于正常狀態(tài)；同時(shí)企業(yè)中 Windows 桌面電腦、筆記本大量出現(xiàn)被加密情況。

這意味著虛擬機(jī)系統(tǒng)被攻擊最糟糕的情況還是出現(xiàn)了。

一般情況下，勒索病毒很難做到跨操作系統(tǒng)的感染，例如臭名昭著的 WannaCry，針對(duì) Windows 系統(tǒng)的漏洞可以加密，但是遇到虛擬機(jī)操作系統(tǒng)時(shí)就失效了。

但一切正在改變，公有云及私有云等數(shù)據(jù)中心采用虛擬化的部署方式，不僅實(shí)現(xiàn)了計(jì)算資源利用率的最大化，還有利于節(jié)能環(huán)保。在計(jì)算機(jī)虛擬化的進(jìn)程中，VMware vSphere 虛擬化平臺(tái)市場(chǎng)占有率最大，自然成為了勒索病毒攻擊的重點(diǎn)。

△不同虛擬機(jī)平臺(tái)正在被企業(yè)大量使用

來(lái)者不善，這次的勒索病毒造成 VMware vSphere 部分的虛擬機(jī)磁盤(pán)文件.vmdk、虛擬機(jī)描述文件.vmx 被重命名，手動(dòng)打開(kāi).vmx 文件，發(fā)現(xiàn).vmx 文件被加密。另外 VMware vm-support 日志收集包中，也有了勒索軟件生成的說(shuō)明文件。

△ESXI 日志診斷包出現(xiàn)說(shuō)明文件

文章提到，勒索團(tuán)隊(duì)在攻擊感染了 VMware vSphere 虛擬機(jī)文件的同時(shí)，也加密了Windows 系統(tǒng)文件：

（1）Windows 客戶端出現(xiàn)文件被加密情況，加密程度不一，某些用戶文件全盤(pán)加密，某些用戶部分文件被加密。

（2）Windows 系統(tǒng)日志被清理，無(wú)法溯源（客戶端均安裝有 McAfee 企業(yè)防病毒軟件，但未起到防護(hù)作用）。

（3）使用火絨、Autoruns、深信服 EDR 產(chǎn)品，暫未發(fā)現(xiàn)異常。

同時(shí)感染了 VMware+Windows，這是 Double Kill。幸運(yùn)的是在計(jì)算機(jī)虛擬化領(lǐng)域，玩家都是專業(yè)級(jí)人員，也就是精通 IT 技術(shù)的人員才會(huì)涉足像 VMware vSphere 這樣的平臺(tái)產(chǎn)品。換句話說(shuō)，在這場(chǎng)戰(zhàn)斗中，進(jìn)攻方與防御方旗鼓相當(dāng)，被攻擊方對(duì)數(shù)據(jù)、業(yè)務(wù)恢復(fù)的能力要比普通的 IT 小白強(qiáng)得多。

針對(duì)本次病毒攻擊事件，文章提到了數(shù)據(jù)恢復(fù)的具體措施。

一是針對(duì) VMware vSphere 被感染的虛擬機(jī)文件：

（1）得益于客戶現(xiàn)有存儲(chǔ)每天執(zhí)行過(guò)快照，VMware vSphere虛擬化主機(jī)全部重建后，通過(guò)存儲(chǔ)LUN快照創(chuàng)建新的LUN掛載給ESXI，進(jìn)行手動(dòng)虛擬機(jī)注冊(cè)。然后啟動(dòng)虛擬機(jī)逐步驗(yàn)證數(shù)據(jù)丟失情況、恢復(fù)業(yè)務(wù)。

（2）用戶有數(shù)據(jù)備份環(huán)境，部分存儲(chǔ)于本地磁盤(pán)的 VMware 虛擬機(jī)，由于無(wú)法通過(guò)快照的方式還原，通過(guò)虛擬機(jī)整機(jī)還原。

（3）對(duì)于沒(méi)有快照、沒(méi)有備份的虛擬機(jī)，只能選擇放棄，后續(xù)重構(gòu)該虛擬機(jī)。

（4）對(duì)現(xiàn)有虛擬化環(huán)境進(jìn)行了升級(jí)。

企業(yè)級(jí)操作系統(tǒng)，快照、備份就是企業(yè)生產(chǎn)的生命線。但是每天執(zhí)行快照，并恢復(fù)的顆粒度是多大，這個(gè)值得警惕，顆粒度大，必然造成數(shù)據(jù)丟失，損失在所難免。

二是針對(duì) Windows 被感染的文件：

（1）對(duì)于 Windows 客戶端進(jìn)行斷網(wǎng)處理，并快速搶救式備份數(shù)據(jù)。

（2）開(kāi)啟防病毒軟件的防勒索功能。

數(shù)據(jù)災(zāi)備真的太重要了。

從這次事件看，勒索病毒已經(jīng)開(kāi)始瞄上了 VMware vSphere，或許它們正在偷偷前行，等待合適時(shí)機(jī)進(jìn)行大規(guī)模進(jìn)攻。這并非是危言聳聽(tīng)，最近針對(duì) VMware vSphere 系統(tǒng)漏洞的攻擊發(fā)生在今年的 2 月，勒索軟件團(tuán)隊(duì)通過(guò) “RansomExx” 病毒，利用 VMWare ESXi 產(chǎn)品中的漏洞（CVE-2019-5544、CVE-2020-3992），對(duì)虛擬硬盤(pán)的文件進(jìn)行加密。

△RansomExx 被殺毒軟件發(fā)現(xiàn)

“RansomExx” 病毒早在去年 10 月就被發(fā)現(xiàn)非法入侵企業(yè)的網(wǎng)絡(luò)設(shè)備，并攻擊本地的 ESXi 實(shí)例，進(jìn)而加密其虛擬硬盤(pán)中的文件。由于該實(shí)例用于存儲(chǔ)來(lái)自多個(gè)虛擬機(jī)的數(shù)據(jù)，因此對(duì)企業(yè)造成了巨大的破壞。

那么，如何對(duì)虛擬機(jī)進(jìn)行備份，以及針對(duì)關(guān)鍵虛擬機(jī)進(jìn)行容災(zāi)，比如熱備或溫備。

首先從備份策略來(lái)講，針對(duì)虛擬機(jī)的備份越來(lái)越充滿挑戰(zhàn)，主要來(lái)自兩方面：一是虛擬機(jī)數(shù)量極其龐大，少則十幾臺(tái)，多則數(shù)千臺(tái)，特別是在政務(wù)云、私有云這種虛擬化平臺(tái)上，虛擬機(jī)數(shù)量太多，傳統(tǒng)的針對(duì)每臺(tái)虛擬機(jī)安裝 Agent 進(jìn)行備份操作，顯得過(guò)于繁瑣和落后；二是用戶對(duì)于備份實(shí)時(shí)性要求越來(lái)越高，RPO 值越低越能減少企業(yè)的損失。

針對(duì)這兩大問(wèn)題，可以通過(guò)無(wú)代理的虛擬化備份管理軟件，通過(guò) VMware vSphere 開(kāi)放的接口進(jìn)行統(tǒng)一備份，并根據(jù)用戶生產(chǎn)環(huán)境和數(shù)據(jù)量，合理設(shè)置周期性備份策略，以降低備份的 RPO 值。

其次從虛擬機(jī)容災(zāi)策略來(lái)講，虛擬機(jī)故障通常分為兩類：一是平臺(tái)型故障，比如物理機(jī)故障導(dǎo)致虛擬機(jī)不可用，或者機(jī)房發(fā)生安全事件導(dǎo)致系統(tǒng)不可用；二是單機(jī)系統(tǒng)故障，系統(tǒng)運(yùn)行慢或宕機(jī)。

針對(duì)虛擬機(jī)不可用的問(wèn)題，如果是平臺(tái)型故障，可以通過(guò)負(fù)載均衡進(jìn)行整體切換實(shí)現(xiàn)故障接管；如果是單機(jī)型故障，可以通過(guò)容災(zāi)高可用方案進(jìn)行接管。通常虛擬機(jī)平臺(tái)擁有單機(jī)容災(zāi)機(jī)制，但在策略上，ISV 推出的高可用軟件可能更有優(yōu)勢(shì)，它可以自動(dòng)根據(jù)“服務(wù)異常停止、網(wǎng)絡(luò)異常、硬件故障、系統(tǒng)宕機(jī)”進(jìn)行系統(tǒng)的自動(dòng)接管，或提示運(yùn)維人員進(jìn)行判斷是否接管。

另外，數(shù)據(jù)副本管理（CDM）技術(shù)的成熟，也可以對(duì)大量的虛擬機(jī)系統(tǒng)進(jìn)行溫備。CDM 技術(shù)可以通過(guò)不同的數(shù)據(jù)采集及備份策略，實(shí)現(xiàn)生產(chǎn)系統(tǒng)在進(jìn)行周期性備份時(shí)，可以將備份周期的時(shí)間設(shè)置為分鐘級(jí)（如 30 分鐘備份一次）。當(dāng)虛擬機(jī)備份文件需要恢復(fù)時(shí)，可以通過(guò)存儲(chǔ)掛載（NFS）的形式，直接將備份文件掛載在虛擬化平臺(tái)上進(jìn)行瞬時(shí)恢復(fù)，掛載過(guò)程秒即完成，比普通恢復(fù)所需要的時(shí)間更小。

△備份文件 NFS 恢復(fù)與普通恢復(fù)

隨著虛擬機(jī)的普及，針對(duì)虛擬機(jī)的傷害變得越來(lái)越頻繁，樣式也越來(lái)越多樣。例如，2018 年 9 月，從思科離職 5 個(gè)月的 Sudhish Kasaba Ramesh，將魔爪伸向了他曾使用的個(gè)人 Google Cloud Project 賬戶，并使用 “rm -rf /* 命令行將 WebEx Teams 視頻會(huì)議和協(xié)作應(yīng)用軟件的 456個(gè)虛擬機(jī)刪除了。

而這次勒索病毒針對(duì) VMware vSphere 的攻擊，實(shí)際上是黑客團(tuán)隊(duì)推開(kāi)了針對(duì)虛擬機(jī)攻擊的大門(mén)。這次的攻擊，不能僅僅看成是一次簡(jiǎn)單的病毒攻擊事件。