攻击者利用Python 勒索软件加密 VMware ESXi 服务器
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Sophos 报道称,最近发现攻击活动利用基于 Python 的勒索软件变体攻击组织机构的 VMware ESXi 服务器并加密所有的虚拟磁盘。
攻击者使用了一个自定义 Python 脚本,目标组织机构的虚拟机管理程序执行该脚本后会迫使所有的虚拟机下线。
Sophos 公司的安全研究员解释称,攻击者执行勒索软件的速度非常快:首次攻陷后约三小时后加密进程就启动了。
在初始访问时,攻击者攻陷了未设立多因素认证机制的 TeamViewer 账户,而该账户在具有Domain Administrator 凭据的用户所拥有的计算机后台运行。等待组织机构的时区到达午夜并过去30分钟后,攻击者开始登录之后下载并执行工具以识别网络上的目标,从而找到 VMware ESXi 服务器。
在凌晨2点左右,攻击者通过SSH客户端登录服务器,利用内置的 SSH 服务 ESXi Shell,在ESXi 服务器上启用以实现管理目的。
距离初次扫描3小时后,攻击者登录到 ESXi Shell,复制 Python 脚本,之后在每个数据库磁盘中执行,从而加密虚拟磁盘和虚拟机的设置文件。
虽然该脚本只有6kb 大小,但可使攻击者配置多个加密密钥、多个邮件地址以及作为加密文件后缀的文件。
Sophos 报道称,该脚本包含多个硬编码加密密钥以及用于生成更多密钥的例程,可使研究员认为勒索软件在每次运行时都会创建一个唯一密钥。
如此,在该特定攻击中,由于攻击者为三个目标 ESXi 数据存储器的每个都分别执行了该脚本,因此每个加密进程都创建了新密钥。该脚本虽然不传输密钥但会将密钥写入文件系统并通过硬编码公钥进行加密。
Sophos 公司的首席研究员 Andrew Brandt 表示,“Python 预装在基于 Linux 的系统如 ESXi 中,使得此类系统上很容易出现基于 Python 的攻击。ESXi 服务器是备受勒索软件威胁行动者青睐的目标,因为攻击者可立即攻击多个虚拟机,而其中每个虚拟机可运行对业务至关重要的应用程序或服务。”
推荐阅读
速修复!VMware vCenter Server 所有版本受严重的 RCE 漏洞影响
VMware 修复可窃取管理员凭据的高危漏洞
VMware 修复 View Planner中的严重RCE 漏洞
谈谈我们如何发现 VMware vCenter 的越权 RCE
原文链接
https://www.securityweek.com/attackers-encrypt-vmware-esxi-server-python-ransomware
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
攻击者利用Python 勒索软件加密 VMware ESXi 服务器相关推荐
- 危险!全球未打补丁的 VMware ESXi 服务器被勒索组织盯上了
公众号关注 「奇妙的 Linux 世界」 设为「星标」,每天带你玩转 Linux ! 据BleepingComputer 2月3日消息,法国计算机紧急响应小组(CERT-FR) 近日发出警告,攻击者正 ...
- 预警!VMware ESXi服务器遭大规模勒索攻击,已有数千系统中招!科力锐提供勒索病毒拦截应急恢复体系化解决方案
新型勒索病毒"ESXiArgs"横空出世 专门针对VMware ESXi服务器进行勒索攻击 全球已有近三千多业务系统中招 人心惶惶如何防? 且看科力锐勒索病毒拦截&应急恢复 ...
- delphi php 加密解密_如何恢复被MaMoCrypt勒索软件加密的数据
写在前面的话 MaMoCrypt是一款臭名昭著的勒索软件,该勒索软件从去年的十二月份开始活跃,深受其害的用户可以算是不计其数了.那么在这篇文章中,我们将告诉大家如何恢复.解密被MaMoCrypt勒索软 ...
- Fairware勒索软件频繁攻击Linux服务器 大家赶紧做好备份
近期,Linux服务器管理员们报告了多次攻击,这些攻击导致服务器的web文件夹消失.网站无限期关闭.在BleepingComputer网站的论坛上,众多帖子证实了大量这样的攻击. 据一个受害者说,此类 ...
- DeathRansom:一款教育目的的Python勒索软件开发平台
DeathRansom DeathRansom是一款基于Python开发的勒索软件平台,DeathRansom生成的勒索软件将带有强大的绕过技术,该工具仅出于教育目的,请不要将其用于恶意行为. 很多人 ...
- Vmware Esxi服务器虚拟机操作系统安装
文章目录 Vmware Esxi介绍 Vmware Esxi 7.0下载与安装 开始引导安装Vmware Esxi 设置静态IP 激活Esxi 查看VMFSL服务分配空间 修改VMFSL服务分配空间 ...
- python3socket非阻塞_利用Python中SocketServer 实现客户端与服务器间非阻塞通信
利用SocketServer模块来实现网络客户端与服务器并发连接非阻塞通信. 首先,先了解下SocketServer模块中可供使用的类: BaseServer:包含服务器的核心功能与混合(mix-in ...
- pythontcp服务器如何关闭阻塞_利用Python中SocketServer 实现客户端与服务器间非阻塞通信...
利用SocketServer模块来实现网络客户端与服务器并发连接非阻塞通信. 首先,先了解下SocketServer模块中可供使用的类: BaseServer:包含服务器的核心功能与混合(mix-in ...
- 网络黑市PaySell与Jaff勒索软件共享同一台服务器
安全研究人员发现勒索软件Jaff的发布者们与名为PaySell的网络犯罪市场共享同一服务器空间. 此次涉事的服务器IP地址为5.101[.]66.85,而根据Heimdal Security公司的发现 ...
最新文章
- 简单介绍实体类或对象序列化时,忽略为空属性的操作
- tableau必知必会之学做时尚的环状条形图(跑道图)
- springmvc+spring+hibernate集成cxf
- Swift之深入解析“类”的底层原理
- js 从一个函数中传递值到另一个函数
- RabbitMQ 资料整理
- 【TensorFlow】多GPU训练:示例代码解析
- 基于固定坐标与基于参考坐标系得到的机械手的微分运动不同
- python系统下载-pythonox下载
- 语音识别技术的研究难点以及未来发展方向
- Java三大特性的理解
- 早起的奇迹,梦醒后成为梦想的自己!
- python判断闰年程序_python实现闰年
- 计算机属性没有共享,win10系统本地连接属性里没有共享选项的具体方案
- 【java】企业微信机器人消息推送
- java导入excel数据_java使用POI批量导入excel数据的方法
- fstream常用方法详解
- 理解电脑上的串口对应的端口号(com口)
- 什么是质量?你真的了解吗?
- /etc/init.d/sshd配置SSHD路径忘记修改导致启动失败