注意了，針對 VMware vSphere 的勒索病毒正在嘗試著攻擊，它們似乎正在尋找機(jī)會和積累經(jīng)驗(yàn)。

2021 年 3 月 15 日，一篇關(guān)于 VMware vSphere 被勒索病毒攻擊的博客文章（小岑博客）引起了行業(yè)人士的廣泛關(guān)注。文章詳細(xì)介紹了虛擬機(jī)被勒索病毒攻擊后，出現(xiàn)了大量虛擬機(jī)關(guān)閉，虛擬機(jī)處于關(guān)機(jī)，并處于無法連接狀態(tài)，用戶生產(chǎn)環(huán)境停線等嚴(yán)重問題。

據(jù)博主透露，VMware vSphere 集群僅有 vCenter 處于正常狀態(tài)；同時企業(yè)中 Windows 桌面電腦、筆記本大量出現(xiàn)被加密情況。

這意味著虛擬機(jī)系統(tǒng)被攻擊最糟糕的情況還是出現(xiàn)了。

一般情況下，勒索病毒很難做到跨操作系統(tǒng)的感染，例如臭名昭著的 WannaCry，針對 Windows 系統(tǒng)的漏洞可以加密，但是遇到虛擬機(jī)操作系統(tǒng)時就失效了。

但一切正在改變，公有云及私有云等數(shù)據(jù)中心采用虛擬化的部署方式，不僅實(shí)現(xiàn)了計(jì)算資源利用率的最大化，還有利于節(jié)能環(huán)保。在計(jì)算機(jī)虛擬化的進(jìn)程中，VMware vSphere 虛擬化平臺市場占有率最大，自然成為了勒索病毒攻擊的重點(diǎn)。

△不同虛擬機(jī)平臺正在被企業(yè)大量使用

來者不善，這次的勒索病毒造成 VMware vSphere 部分的虛擬機(jī)磁盤文件.vmdk、虛擬機(jī)描述文件.vmx 被重命名，手動打開.vmx 文件，發(fā)現(xiàn).vmx 文件被加密。另外 VMware vm-support 日志收集包中，也有了勒索軟件生成的說明文件。

△ESXI 日志診斷包出現(xiàn)說明文件

文章提到，勒索團(tuán)隊(duì)在攻擊感染了 VMware vSphere 虛擬機(jī)文件的同時，也加密了Windows 系統(tǒng)文件：

（1）Windows 客戶端出現(xiàn)文件被加密情況，加密程度不一，某些用戶文件全盤加密，某些用戶部分文件被加密。

（2）Windows 系統(tǒng)日志被清理，無法溯源（客戶端均安裝有 McAfee 企業(yè)防病毒軟件，但未起到防護(hù)作用）。

（3）使用火絨、Autoruns、深信服 EDR 產(chǎn)品，暫未發(fā)現(xiàn)異常。

同時感染了 VMware+Windows，這是 Double Kill。幸運(yùn)的是在計(jì)算機(jī)虛擬化領(lǐng)域，玩家都是專業(yè)級人員，也就是精通 IT 技術(shù)的人員才會涉足像 VMware vSphere 這樣的平臺產(chǎn)品。換句話說，在這場戰(zhàn)斗中，進(jìn)攻方與防御方旗鼓相當(dāng)，被攻擊方對數(shù)據(jù)、業(yè)務(wù)恢復(fù)的能力要比普通的 IT 小白強(qiáng)得多。

針對本次病毒攻擊事件，文章提到了數(shù)據(jù)恢復(fù)的具體措施。

一是針對 VMware vSphere 被感染的虛擬機(jī)文件：

（1）得益于客戶現(xiàn)有存儲每天執(zhí)行過快照，VMware vSphere虛擬化主機(jī)全部重建后，通過存儲LUN快照創(chuàng)建新的LUN掛載給ESXI，進(jìn)行手動虛擬機(jī)注冊。然后啟動虛擬機(jī)逐步驗(yàn)證數(shù)據(jù)丟失情況、恢復(fù)業(yè)務(wù)。

（2）用戶有數(shù)據(jù)備份環(huán)境，部分存儲于本地磁盤的 VMware 虛擬機(jī)，由于無法通過快照的方式還原，通過虛擬機(jī)整機(jī)還原。

（3）對于沒有快照、沒有備份的虛擬機(jī)，只能選擇放棄，后續(xù)重構(gòu)該虛擬機(jī)。

（4）對現(xiàn)有虛擬化環(huán)境進(jìn)行了升級。

企業(yè)級操作系統(tǒng)，快照、備份就是企業(yè)生產(chǎn)的生命線。但是每天執(zhí)行快照，并恢復(fù)的顆粒度是多大，這個值得警惕，顆粒度大，必然造成數(shù)據(jù)丟失，損失在所難免。

二是針對 Windows 被感染的文件：

（1）對于 Windows 客戶端進(jìn)行斷網(wǎng)處理，并快速搶救式備份數(shù)據(jù)。

（2）開啟防病毒軟件的防勒索功能。

數(shù)據(jù)災(zāi)備真的太重要了。

從這次事件看，勒索病毒已經(jīng)開始瞄上了 VMware vSphere，或許它們正在偷偷前行，等待合適時機(jī)進(jìn)行大規(guī)模進(jìn)攻。這并非是危言聳聽，最近針對 VMware vSphere 系統(tǒng)漏洞的攻擊發(fā)生在今年的 2 月，勒索軟件團(tuán)隊(duì)通過 “RansomExx” 病毒，利用 VMWare ESXi 產(chǎn)品中的漏洞（CVE-2019-5544、CVE-2020-3992），對虛擬硬盤的文件進(jìn)行加密。

△RansomExx 被殺毒軟件發(fā)現(xiàn)

“RansomExx” 病毒早在去年 10 月就被發(fā)現(xiàn)非法入侵企業(yè)的網(wǎng)絡(luò)設(shè)備，并攻擊本地的 ESXi 實(shí)例，進(jìn)而加密其虛擬硬盤中的文件。由于該實(shí)例用于存儲來自多個虛擬機(jī)的數(shù)據(jù)，因此對企業(yè)造成了巨大的破壞。

那么，如何對虛擬機(jī)進(jìn)行備份，以及針對關(guān)鍵虛擬機(jī)進(jìn)行容災(zāi)，比如熱備或溫備。

首先從備份策略來講，針對虛擬機(jī)的備份越來越充滿挑戰(zhàn)，主要來自兩方面：一是虛擬機(jī)數(shù)量極其龐大，少則十幾臺，多則數(shù)千臺，特別是在政務(wù)云、私有云這種虛擬化平臺上，虛擬機(jī)數(shù)量太多，傳統(tǒng)的針對每臺虛擬機(jī)安裝 Agent 進(jìn)行備份操作，顯得過于繁瑣和落后；二是用戶對于備份實(shí)時性要求越來越高，RPO 值越低越能減少企業(yè)的損失。

針對這兩大問題，可以通過無代理的虛擬化備份管理軟件，通過 VMware vSphere 開放的接口進(jìn)行統(tǒng)一備份，并根據(jù)用戶生產(chǎn)環(huán)境和數(shù)據(jù)量，合理設(shè)置周期性備份策略，以降低備份的 RPO 值。

其次從虛擬機(jī)容災(zāi)策略來講，虛擬機(jī)故障通常分為兩類：一是平臺型故障，比如物理機(jī)故障導(dǎo)致虛擬機(jī)不可用，或者機(jī)房發(fā)生安全事件導(dǎo)致系統(tǒng)不可用；二是單機(jī)系統(tǒng)故障，系統(tǒng)運(yùn)行慢或宕機(jī)。

針對虛擬機(jī)不可用的問題，如果是平臺型故障，可以通過負(fù)載均衡進(jìn)行整體切換實(shí)現(xiàn)故障接管；如果是單機(jī)型故障，可以通過容災(zāi)高可用方案進(jìn)行接管。通常虛擬機(jī)平臺擁有單機(jī)容災(zāi)機(jī)制，但在策略上，ISV 推出的高可用軟件可能更有優(yōu)勢，它可以自動根據(jù)“服務(wù)異常停止、網(wǎng)絡(luò)異常、硬件故障、系統(tǒng)宕機(jī)”進(jìn)行系統(tǒng)的自動接管，或提示運(yùn)維人員進(jìn)行判斷是否接管。

另外，數(shù)據(jù)副本管理（CDM）技術(shù)的成熟，也可以對大量的虛擬機(jī)系統(tǒng)進(jìn)行溫備。CDM 技術(shù)可以通過不同的數(shù)據(jù)采集及備份策略，實(shí)現(xiàn)生產(chǎn)系統(tǒng)在進(jìn)行周期性備份時，可以將備份周期的時間設(shè)置為分鐘級（如 30 分鐘備份一次）。當(dāng)虛擬機(jī)備份文件需要恢復(fù)時，可以通過存儲掛載（NFS）的形式，直接將備份文件掛載在虛擬化平臺上進(jìn)行瞬時恢復(fù)，掛載過程秒即完成，比普通恢復(fù)所需要的時間更小。

△備份文件 NFS 恢復(fù)與普通恢復(fù)

隨著虛擬機(jī)的普及，針對虛擬機(jī)的傷害變得越來越頻繁，樣式也越來越多樣。例如，2018 年 9 月，從思科離職 5 個月的 Sudhish Kasaba Ramesh，將魔爪伸向了他曾使用的個人 Google Cloud Project 賬戶，并使用 “rm -rf /* 命令行將 WebEx Teams 視頻會議和協(xié)作應(yīng)用軟件的 456個虛擬機(jī)刪除了。

而這次勒索病毒針對 VMware vSphere 的攻擊，實(shí)際上是黑客團(tuán)隊(duì)推開了針對虛擬機(jī)攻擊的大門。這次的攻擊，不能僅僅看成是一次簡單的病毒攻擊事件。