VMWare最新勒索事件“态势感知”
2023-2-7 17:14:38 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

《再聊“绝对”与“相对”》一文开头里就提到了我对一些物理学上的名称概念就属于“望文生义”基于文字本身的语言去理解的,比如“相对论”我就对“相对”理解是这样,我也曾多次用到《三体》里的一些概念“降维打击”啥的也是这样,实际上我必须承认在今年三体电视剧之前我是没看过《三体》书籍的。而今天要聊的也是“态势感知”这个词。

“态势感知”是网络安全领域(最起码在大天朝)算一个非常有代表性的、非常典型的众多“概念”,当然了这种“概念”非常多,主要来源于以Gartner等,按我的理解这都是大天朝网络安全发展阶段决定的。换句话说,我们需要这种“概念”去冲击网络安全行业。

值得一提是在2016年4月19日,总书记在网络安全与信息化工作座谈会上的讲话:

网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。

这里就提到的“感知网络安全态势”被认为是“态势感知”,于是一时之下全都是“态势感知”相关产品,随着各家不断加入,于是就出现了“内卷”,把这个概念局限在某个场景下,并最终都使用了“地图炮”的“炫酷”的展示形式,于是就开始出现一些“吐槽”,被认为“地图炮”里“打来打去”只能“忽悠”领导,而对一线工作没有太大的“实际意义” ...

其实我是不赞同这种说法的,我们公司应该算是比较早(可能是国内最早)使用“地图炮”的,在我个人看上面吐槽的「“忽悠”领导」反而就是“地图炮”最重要的意义,因为看见安全是非常非常难的(参考《漫画与安全》),至于吐槽“实际意义”这个其实跟“地图炮”无关 ... 

但现实中确实存在很多“形式主义”的“地图炮”,很多时候这种内卷都是市场决定的,不是“真安全”需求驱动,这种就导致了上面提到的各种“概念”横飞是一样的,因为那些人可能在意的根本就不是真正解决安全问题,而是一种怎么把概念转化的商业的市场行为!当然我这里不是说两者就是对立矛盾的,我们需要去用真正的安全需求去引导市场时候,才能看到网络安全这个行业的未来!

网络安全行业的发展需要有情怀的企业家及从业者!

我理解的“态势感知”

既然是“望文生义”那么我们来个“说文解字”了:“态”、“势”、“感”、“知”,“态”可以理解为事物的某个时间维度下的一种状态,这个状态在网络空间里可以体现的就是数据,“势”可以理解为一种趋势,比如我们把“态”理解为时间点的数据,那么“势”就是一种时空下的数据变化趋势,“感”可以理解为我们要去分析理解这种时间及空间维度下数据及趋势,“知”就是知识、智慧,通过对数据处理分析最终得到一种知识 ...

看到这里可能有一些经常看我文章的人会有种“似曾相识”的感觉,在《谈谈网络空间“行为测绘”》一文中开头提到的“数据-->知识-->智慧-->决策”链是一致的,当然最后关联到就是我在2019年KCon上提的两个核心:“一是,获取更多的数据。二是,赋予数据灵魂。”,当然在我提到的“动态测绘”里强调了数据的“时间”及“空间”维度等等

这些归根结底就在于对“数据”的理解上,在网络空间测绘这个可以理解为全网的态势感知,而在网络安全行业里还有不少是针对某个甲方本身网络安全的“态势感知”,这个才更具体“韭菜”的市场需求。

我们在全网络空间这个维度做了不少的“态势感知”,比如《ZoomEye针对俄乌冲突的战场态势持续感知》,再比如针对突发的恶意事件感知 《ZoomEye测绘视角下的宝塔“0day”事件》,当然这类事情历史上很多,我们404实验室之前发布过不少“预警”,这里就不一一提了。

VMWare最新勒索事件

这个事件在外网的关注度是非常高的,在国内直到今天才看到陆续一些翻译的科技新闻媒体文发布,国内关注度更多的还在讨论“强哥吃鱼”的事情。可能国内最早关注的就是我们在2月4日发布的一条预警:

【知道创宇404实验室】根据ZoomEye测绘引擎最新态势感知,一个针对VMware设备的勒索攻击正在扩散,知道创宇404实验室提醒您注意安全!https://www.zoomeye.org/searchResult?q=%22How%20to%20Restore%20Your%20Files%22

这几天的数据还一种在变化增涨:

随即我们也做了一些分析,很显然这个是针对VMWare ESXi设备,从被攻击目标涉及的ESXi版本信息关联到一个2年前的漏洞CVE-2021-21974,这个漏洞在我们知道创宇404实验室2021年5月25日应急处理过

注:这个2020年是当时写错了,应该是2021

没想到时至今日被用来作为勒索攻击的武器。这个例子告诉我们不用轻视一个1day/nday的威力!

当然我发现还有一些比较有意思的情况,从ZoomEye的测绘情况来看,搜索"How to Restore Your Files"这个关键词居然还找到了2022年及2021年的数据,也就是这个可能不算是“最新”的,我们具体看看

2021年的数据就1条:

是个ftp服务器,里面有个文件名HOW TO RESTORE YOUR FILES.TXT 从加密的文件后缀来看这个属于Slfyvggi ransomware 

再看看2022年的数据,有22条,简单分析下其中有3条是针对cPanel的,文件名后缀是filenew,关联到的勒索组织:WHM RANSOMWARE

有14条是针对VMWare ESXi的,最早的记录定格在2022-10-18日,被篡改的页面内容如下:

HTTP/1.1 301 Moved PermanentlyDate: Tue, 18 Oct 2022 11:38:15 GMTLocation: https://sb91.binco.com.ua/Connection: closeContent-Type: text/htmlContent-Length: 56

<html lang="en"><head> <title>How to Restore Your Files</title></head><body>

<h1>How to Restore Your Files</h1>

<p><strong><u>Security Alert!!!</u></strong></p><p>We hacked your company successfully</p><p>All files have been stolen and encrypted by us</p><p>If you want to restore files or avoid file leaks, please send <b>1.095152</b> bitcoins to the wallet <b>bc1qh0dmcpd56kpx53ca65mmdnapdz3qw8pqpevh8g</b></p><p>If money is received, encryption key will be available on our web site <b>http://yytf6btdhrikgywd6aluwbafjgm5oj3pan2lg3czvhs34obs3brid7ad.onion/014c9dd5-6c38-4b96-a400-bb694cf793a7</b></p>

<p><strong><u>Attention!!!</u></strong></p><p>Send money within 3 days, otherwise we will expose some data and raise the price</p><p>Don't try to decrypt important files, it may damage your files</p><p>Don't trust who can decrypt, they are liars, no one can decrypt without key file</p><p>If you don't send bitcoins, we will notify your customers of the data breach by email and text message</p><p>And sell your data to your opponents or criminals, data may be made release</p>

<p><strong><u>Note</u></strong></p><p>SSH is turned on</p><p>Firewall is disabled</p>

<br><p>[email protected]</p></body></html>

我们搜索下[email protected] 2023年还有2条数据,最新的数据是在2023-01-19 ns6908718.ip-54-36-48.eu

继续看下2023年的数据,这次针对VMWare ESXi的勒索数据记录在2023-02-03 51.210.112.27

HTTP/1.1 301 Moved Permanently
Date: Fri, 3 Feb 2023 10:43:45 GMTLocation: https://51.210.112.27/Connection: closeContent-Type: text/htmlContent-Length: 56

<HTML><BODY><H1>301 Moved Permanently</H1></BODY></HTML>

Http response from 302 moved url https://51.210.112.27/:HTTP/1.1 200 OKContent-Security-Policy: block-all-mixed-contentContent-Type: text/htmlStrict-Transport-Security: max-age=31536000X-Xss-Protection: 1Connection: Keep-AliveX-Content-Type-Options: nosniffX-Frame-Options: DENYContent-Length: 1169Date: Fri, 3 Feb 2023 10:43:47 GMT

<html lang="en"><head> <title>How to Restore Your Files</title></head><body>

<h1>How to Restore Your Files</h1>

<p><strong><u>Security Alert!!!</u></strong></p><p>We hacked your company successfully</p><p>All files have been stolen and encrypted by us</p><p>If you want to restore files or avoid file leaks, please send <b>2.032317</b> bitcoins to the wallet <b>1DbuTjRNVNrGsYiD5kzqcfTqaww4wJHRCW</b></p><p>If money is received, encryption key will be available on <b>TOX_ID: D6C324719AD0AA50A54E4F8DED8E8220D8698DD67B218B5429466C40E7F72657C015D86C7E4A</b></p>

<p><strong><u>Attention!!!</u></strong></p><p>Send money within 3 days, otherwise we will expose some data and raise the price</p><p>Don't try to decrypt important files, it may damage your files</p><p>Don't trust who can decrypt, they are liars, no one can decrypt without key file</p><p>If you don't send bitcoins, we will notify your customers of the data breach by email and text message</p><p>And sell your data to your opponents or criminals, data may be made release</p>

<p><strong><u>Note</u></strong></p><p>SSH is turned on</p><p>Firewall is disabled</p>

<br></body></html>

从这个勒索说明里可以看出,这个跟上面2022年的基本差不多,但是这次好像开始“涨价”了,最早那个是1.095152 btc 涨到了 2.032317 btc,我随即抽查了几个新的,这个价格好像是每个目标都不一样,最新的都在2.0xxxxx,没有超过3.0的 不知道这个xxxx是随机的还是有啥算法估计目标的“价值”不一样变化的,当然收到赎金后的key的方式也变化了,同时也删除了 [email protected] 这个email地址,另外还有一个特点是wallet地址不是固定一个或者几个,应该算是一批,虽然这个可以随意注册,但是对于那么大量的地址操作管理也是需要点精力去搞的。

由此可以见,这次针对VMWare勒索事件,目前最早可以追溯到2022-10-18,这个阶段属于试运营阶段,从2023-02-03开始进入正式运营阶段,赎金价格由最开始的1.0+基数btc涨到了2.0+基数的btc,启用了大量的钱包地址估计是想提升追查溯源的难度。

本次事件影响的国家

从ZoomEye的统计数据来看,主要影响的法国

所以为什么你看到的新闻媒体文上引用的是来自法国cert的报告 https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/ 我开始觉得是不是因为法国使用VMWare多导致的,如果是这样可能跟公有云覆盖是有关系的,毕竟现在流行都是Docker及公有云服务,但是通过我才看VMWare的设备使用量来看:

排名最多的是美国及中国然后才是法国,所以从这点看很可能还是法国用户安全意识没有及时升级导致的!

我们再看看中国,数据量整体是非常少的,中国大陆基本上没有(只有1条上海数据),主要是在香港及台湾省。在结合上面看到的中国VMWare设备的整体数量仅次于美国,那为什么没有中招的呢?难道我们大天朝的知名安全意识已经无敌了吗?!或者是存在某个上帝之手阻挡了这一切?!当然这个也想起了一个传奇:中国的绝命毒师刘招华

后使用ChatGPT的回复结尾

>用最文艺的方法表达“数据会说话”,可以把数据比喻为一个艺术品

>>数据,就像是一件珍贵的艺术品,它们蕴含了丰富的信息,如同那些古老的壁画,只需我们用心去揣摩,它们便会将自身的故事呈现在我们面前。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg5OTU1NTEwMg==&mid=2247483972&idx=1&sn=31a098957cf64f2a53a1cb04f49ad28e&chksm=c050c835f7274123414caef3ff0d92f2584e6780b60135809f8bd396337afbd706de4dd256b8&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh