近日以VMware ESXi服务器为目标的大规模勒索软件攻击正在席卷全球，包括法国、芬兰、加拿大、美国、意大利等多个国家数千台服务器遭到入侵。攻击者利用了2021年2月公开的高危漏洞（CNVD-2021-12321，https://www.cnvd.org.cn/flaw/show/CNVD-2021-12321），可以向WMware ESXi软件目标服务器427端口发送恶意构造的数据包，从而触发其OpenSLP服务堆缓冲区溢出，并执行任意代码，借以部署新的 ESXiArgs 勒索软件。

一、漏洞详情

VMware vSphere是美国威睿公司推出一套服务器虚拟化解决方案，包括虚拟化、管理和界面层。VMware vSphere的两个核心组件是ESXi服务器和vCenter。VMware ESXi是VMware的裸机虚拟机管理程序，用以创建运行虚拟机和虚拟设备。VMware vCenter Server是管理整个VMware虚拟化基础架构的软件，用于集中管理多个ESXi主机和以及在ESXi主机上运行的虚拟机。

VMware ESXi堆溢出漏洞（CVE-2021-21974）：当ESXi在OpenSLP服务中处理数据包时，由于边界错误，本地网络上的远程非身份验证攻击者可以将伪造的数据包发送到427端口，触发基于堆的缓冲区溢出，并在目标系统上执行任意代码。

近期，网络上出现了一种新的勒索软件 ESXiArgs ，该勒索软件于今年2月开始大规模出现。攻击者利用两年前未经修补的 RCE 漏洞 CVE-2021-21974 将恶意文件传输至 ESXi 导致 OpenSLP 服务中的堆溢出。

二、影响范围：

VMware ESXi70U1c-17325551 7.0版本

VMware ESXi670-202102401-SG 6.7版本

VMware ESXi650-202102101-SG6.5版本

受 ESXiArgs 影响 ESXi 服务器涉及版本集中在 6.7.0、6.5.0、6.0.0、5.5.0，但 VMware 关于 CVE-2021-21974 的官方公告并没有具体说明 6.0.0 和 5.5.0 版本是受影响的版本，但是，根据网络空间测绘数据统计该版本明确被攻击。

国内存在该漏洞影响的服务器数量如下所示（基于censys统计数据）：

三、漏洞解决办法：

方法一：通过官方补丁，对VMware ESXi进行升级。

VMware官方此前已发布补丁修复此漏洞，参考链接：https://www.vmware.com/security/advisories/VMSA-2021-0002.html

方法二：不具备补丁升级条件的，可以通过关闭OpenSLP服务来规避。

1、登录ESXi，选中左侧导航器的主机，在右侧选择“操作-服务-启用安全Shell（SSH）”；

2、远程登录ESXi主机，文中是通过xshell连接，注意这里的密码要选择Keyboard Interactive，这个账号密码就是你ESXi的账号密码

1. 查看SLP服务状态

/etc/init.d/slpd status

如果显示slpd is running，则表示该服务正常运行中。

1. 停止SLP服务

/etc/init.d/slpd stop

1. 禁用SLP服务

esxcli network firewall ruleset set -r CIMSLP -e 0

1. 查看SLP是否设置了开机自启动

chkconfig --list | grep slpd

7、如果slpd服务为on，则执行以下命令关闭自启动

chkconfig slpd off

四、勒索软件ESXiArgs恶意文件分析

通过分析发现与该勒索行为相关的文件共有5个，位于受害服务器中的/tmp/文件夹下，相关恶意文件及描述如下所示：

encrypt– 加密器（ELF可执行文件）

encrypted.sh – 执行加密器之前的功能文件

public.pem – 用于加密文件的RSA加密算法中的公钥

motd——文本格式的勒索信文件

index.html – html格式的勒索信文件

该样本使用参数进行启动，在程序启动初始阶段便会对参数进行强校验，样本通过正确参数启动后便会进行后续操作，勒索信文件名为 “How to Restore Your Files.html”， 指示受害者通过 TOX_ID 与攻击者取得联系，以恢复加密文件或防止数据被泄露。

encrypt.sh

shell脚本整体逻辑如下所示：

修改配置文件

修改虚拟机的磁盘文件 vmdk 及虚拟内存文件 vswp 的文件名，增加受害者在文件加密后找到和恢复初始数据的困难性。

加密文件

首先枚举 ESXi 主机上所有的存储卷，因此未连接到 VM 的虚拟磁盘可能也会受到影响。

加密存储卷中包含如下扩展名的文件：

*.vmdk

*.vmx

*.vmxf

*.vmsd

*.vmsn

*.vswp

*.vmss

*.nvram

*.vmem

持久化

将 encrypt_file() 勒索信文件复制到 /usr/lib/vmware 目录下

防御规避

该勒索软件为了避免被发现及数据恢复，尝试了如下操作：包括删除系统中所有的 log 文件、清除计划任务、删除备份文件、删除 http 端口配置文件中所有存在的 ip、删除store/packages/vmtools.py后门文件及最初始上传的 tmp/ 目录下的恶意文件。

启动ssh服务

加密器encrypt

启动命令，启动参数包括公共 RSA 密钥文件、要加密的文件路径、避免加密的数据块、加密块的大小和文件大小。

勒索软件启动会执行多个步骤来加密系统文件。

encrypt_file()函数进一步调用encrypt_simple()函数来执行加密过程。下图显示了 encrypt_file()函数的代码片段

encrypt_simple函数如下所示：

sosemanuk_encrypt 加密过程如下所示：

检查存储在 result 中的值是否小于 0x4F，当小于 0x4F时，它将明文的前 80LL - (a1 + 128)字节与 Sosemanuk 密码的内部状态进行异或。然后该函数进入一个循环，每次以 80LL 字节的块加密剩余的明文，在每个块加密后更新 Sosemanuk密码的内部状态。然后将加密块与明文进行异或运算以生成密文。

文件小于 128MB 时，完全加密

文件大于 128MB (1M=1024K)时未完全加密

生成流密钥

ATT&CK

IOCs

ESXi勒索软件支付地址列表

https://gist.github.com/cablej/c79102960c4615396e8ffc712136744a

MD5

d0d36f169f1458806053aae482af5010 encrypt.sh

87b010bc90cd7dd776fb42ea5b3f85d3 encrypt

五、勒索软件ESXiArgs处置建议

1. 上述漏洞解决方案；

1. 检查文件 “vmtools.py” 是否存在于“/store/packages/”位置。如果找到，建议立即删除该文件。

1. 重要的数据最好双机备份。