先进攻防情报精选-第1期
2023-2-11 11:17:19 Author: 赛博攻防悟道(查看原文) 阅读量:3 收藏

本期精选

  • VMware ESXi大规模勒索攻击活动出现

  • 微软分享针对APT组织NOBELIUM的事件响应过程

  • portswigger发布2022年十大Web黑客技术

  • GoAnywhere MFT软件出现在野0day攻击

  • 未知黑客在Steam中测试Dota 2地图的V8引擎漏洞

  • Apache官方修复了HackerOne白帽子报告的Kafka远程代码执行漏洞


VMware ESXi大规模勒索攻击活动出现

这次攻击涉及的是VMWare ESXi 的OpenSLP服务漏洞。

Vmware官方公告

https://blogs.vmware.com/security/2023/02/83330.html

去年juniper曾发现未打补丁的ESXi服务器被植入Python后门,疑似使用了OpenSLP服务漏洞的2个老漏洞CVE-2019-5544和CVE-2020-3992。

juniper报告

https://blogs.juniper.net/en-us/threat-research/a-custom-python-backdoor-for-vmware-esxi-servers

此次勒索攻击活动使用的漏洞疑似是CVE-2021-21974,ovh是最早的法国受害运营商

OVH公告

https://blog.ovhcloud.com/ransomware-targeting-vmware-esxi/

CVE-2021-21974漏洞的POC公开于2021年6月期间,而ET Labs在2023年2月3日专门更新了编号为2044114的IDS规则,可见相关漏洞在流量的入侵检测上未被太关注。

ET LABS更新日志

https://community.emergingthreats.net/t/ruleset-update-summary-2023-02-03-v10236/298

这次攻击者的加密脚本出了个有意思的BUG,为了加密文件的效率,攻击者计算文件大小进行了分块加密,通过均分的方式只加密一小块跳过多块文件,文件越大跳过的块越多,结果导致真正存储虚拟机数据的大文件只损坏了一小部分,可以被恢复。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI1MDA1MjcxMw==&mid=2649907970&idx=1&sn=fdd014d2c876ab21f1461b3627062c60&chksm=f18eea04c6f96312ace420027a934e73770cb39063bb197bb7cb481cd4b5b1cc47f4b84e1c27#rd
如有侵权请联系:admin#unsafe.sh