近期一款新的针对 VMware ESXi 服务器勒索软件正在全球范围内大规模传播，攻击者采用 2021 年的远程代码执行漏洞 CVE-2021-21974 获得交互式访问，借以部署新的 ESXiArgs 勒索软件。

VMware安全响应中心2月6号发布针对‘ESXiArgs’勒索攻击的相关信息。

我们希望解决最近报告的“ESXiArgs”勒索软件攻击，并就有关客户应采取的保护自己的行动提供一些指导。

VMware 尚未找到证据表明未知漏洞（0-day）被用于传播最近这些攻击中使用的勒索软件。 大多数报告指出，一般支持终止 (EOGS) 和/或严重过时的产品正成为已知漏洞的目标，这些漏洞之前已在 VMware 安全公告 (VMSA) 中得到解决和披露。

当在我们的 VMSA 主页上发布或进行重大修改时，您可以注册电子邮件和 RSS 警报（文章结尾有链接）。 考虑到这一点，我们建议客户升级到 vSphere 组件的最新可用受支持版本，以解决当前已知的漏洞。 此外，VMware 建议在 ESXi 中禁用 OpenSLP 服务。 2021 年，ESXi 7.0 U2c 和 ESXi 8.0 GA 开始发货，默认禁用该服务。 VMware 还在我们的勒索软件资源中心提供了常规勒索软件资源。 注意：截至美国东部标准时间 2 月 6 日星期一下午 1:30，以上信息准确无误。 请关注此博客，因为如果有任何新信息出现，它将在未来更新。

该漏洞与 OpenSLP 相关，通过 427/UDP 进行攻击，未经身份验证的威胁参与者可以利用该漏洞在低复杂性攻击中获得远程代码执行。截止本文发布，基于censys统计数据全球已受影响服务器有 2453 台，国内已受影响服务器大概数十台左右。

通过分析发现与该勒索行为相关的文件共有5个，位于受害服务器中的/tmp/文件夹下，相关恶意文件及描述如下所示：

该样本使用参数进行启动，在程序启动初始阶段便会对参数进行强校验，样本通过正确参数启动后便会进行后续操作，勒索信文件名为 “How to Restore Your Files.html”， 指示受害者通过 TOX_ID 与攻击者取得联系，以恢复加密文件或防止数据被泄露。

修改虚拟机的磁盘文件 vmdk 及虚拟内存文件 vswp 的文件名，增加受害者在文件加密后找到和恢复初始数据的困难性。

首先枚举 ESXi 主机上所有的存储卷，因此未连接到 VM 的虚拟磁盘可能也会受到影响。

该勒索软件为了避免被发现及数据恢复，尝试了如下操作：包括删除系统中所有的 log 文件、清除计划任务、删除备份文件、删除 http 端口配置文件中所有存在的 ip、删除store/packages/vmtools.py后门文件及最初始上传的 tmp/ 目录下的恶意文件。

启动命令，启动参数包括公共 RSA 密钥文件、要加密的文件路径、避免加密的数据块、加密块的大小和文件大小。

检查存储在 result 中的值是否小于 0x4F，当小于 0x4F时，它将明文的前 80LL – (a1 + 128)字节与 Sosemanuk 密码的内部状态进行异或。然后该函数进入一个循环，每次以 80LL 字节的块加密剩余的明文，在每个块加密后更新 Sosemanuk密码的内部状态。然后将加密块与明文进行异或运算以生成密文。

2.最大限度做好微分段隔离，防止横向的东西向攻击，利用微分段平台实现快速灵活的阻隔手段，快速针对特定端口攻击实现一键式全网阻隔。

3. 在微分段的基础上增加东西向IPS/IDS,无代理杀毒软件，定期进行系统全盘扫描，实时网络攻击特征捕获，并阻止检测到的威胁，按时升级打补丁。

4. 重要的数据业务做好备份和容灾建设，也可以利用VMware on Alibaba 的云灾备方案对关键数据实现多云容灾，防止数据中心级别的灾难造成数据丢失无法找回。

具体漏洞描述和修复方案，参考VMware 官方漏洞描述（VMSA-2021-0002）。

使用该权宜措施，使用 SLP 通过端口 #427 查找 CIM 服务器的 CIM 客户端将无法找到该服务。（CIM 是一种开放式标准，用于为 ESXi 主机硬件资源的无代理标准监控定义一个框架。该框架由一个 CIM 对象管理器（通常称为“CIM 代理程序”）和一组 CIM 提供程序构成。）

请注意，在VMware的安全公告中描述同样的远程代码漏洞攻击可以影响vCenter：

具有443端口网络访问权限的恶意行为者可能利用此问题在vCenter Server所在的底层操作系统上以不受限制的权限执行命令。