虛擬化也逃不過“勒索”的魔掌——嗎?
發(fā)布人:Marketing 發(fā)布日期:2021-03-22 13:43:32 點(diǎn)擊數(shù):3089
今年3月15日,小岑博客(目前網(wǎng)站已無(wú)法訪問)發(fā)表文章稱其 VMware vSphere 集群中的虛擬機(jī)被加密,導(dǎo)致大量虛擬機(jī)癱瘓。
根據(jù)博主的描述,本次事件受影響的是 Windows 和 vSphere,這意味著虛擬機(jī)系統(tǒng)底層也被勒索病毒盯上了。
實(shí)際上,針對(duì) VMware vSphere 系統(tǒng)漏洞的攻擊已在今年2月發(fā)生過,勒索軟件團(tuán)隊(duì)通過 “RansomExx” 病毒,利用 VMware ESXi 產(chǎn)品中的漏洞(CVE-2019-5544、CVE-2020-3992),對(duì)虛擬硬盤的文件進(jìn)行加密。
“RansomExx” 病毒早在去年10 月就被發(fā)現(xiàn)非法入侵企業(yè)的網(wǎng)絡(luò)設(shè)備,并攻擊本地的 ESXi 實(shí)例,進(jìn)而加密其虛擬硬盤中的文件。由于該實(shí)例用于存儲(chǔ)來(lái)自多個(gè)虛擬機(jī)的數(shù)據(jù),因此對(duì)企業(yè)造成了巨大的破壞。
目前為止,暫未有其他虛擬化平臺(tái)用戶發(fā)現(xiàn)被勒索病毒攻擊的情況發(fā)生。但是,眾所周知,ESXi 系統(tǒng)也是基于 linux 底層進(jìn)行定制,所以,理論上勒索病毒在其他虛擬化平臺(tái)也有攻擊的可能。只是此次發(fā)生的情況,可能跟 VMware 本身的漏洞有關(guān)。所以,VMware 用戶還請(qǐng)?zhí)岣呔琛?/span>
根據(jù)已有 VMware 勒索事件發(fā)現(xiàn),黑客利用 VMware ESXi 管理程序漏洞對(duì)虛擬機(jī)進(jìn)行加密。Carbon Spider 和 Sprite Spider 這兩個(gè)團(tuán)伙專門攻擊 ESXi 虛擬機(jī)管理程序,發(fā)動(dòng)大規(guī)模的勒索病毒活動(dòng)(又叫大型目標(biāo)狩獵,BGH)。
他們通過 vCenter Web 登錄信息攻擊 ESXi 系統(tǒng),可控制多個(gè) ESXi 設(shè)備的集中式服務(wù)器,連接到 vCenter 后,黑客使 SSH 能夠?qū)?ESXi 設(shè)備進(jìn)行持久訪問,并更改 root 密碼或主機(jī)的 SSH 密鑰,與此同時(shí)植入 Darkside 勒索病毒,達(dá)成目的。
上個(gè)月底 VMware 也發(fā)布了一份安全公告,對(duì)其虛擬化產(chǎn)品中的三個(gè)高危漏洞打上了補(bǔ)丁,這包括 ESXi 裸機(jī)虛擬機(jī)管理程序中的堆緩沖區(qū)溢出漏洞,以及 vCenter Server 的底層操作系統(tǒng)漏洞。
01
針對(duì)虛擬化平臺(tái)的攻擊,我們應(yīng)該如何防范呢?
原博主的處理方式實(shí)際上就是兩種:
1.通過之前的存儲(chǔ)快照進(jìn)行恢復(fù);
2. 通過之前的虛擬機(jī)整機(jī)備份集進(jìn)行恢復(fù)(虛擬機(jī)快照文件已經(jīng)被加密,無(wú)法恢復(fù))。
所以從他們的解決方式可以看出來(lái):數(shù)據(jù)災(zāi)備才是最有效的安全保障。
02
如何對(duì)虛擬化機(jī)進(jìn)行備份,以及針對(duì)關(guān)鍵虛擬機(jī)進(jìn)行容災(zāi)?
1、虛擬化集中式備份
鼎甲迪備,支持 VMware 無(wú)代理備份及有代理備份,傳輸模式支持 LAN 和 SAN,可做到虛擬機(jī)整機(jī)恢復(fù)、單盤恢復(fù)、單文件恢復(fù)。
同時(shí)支持增量備份、差異備份等多種備份方式,大幅度提升單位時(shí)間內(nèi)的備份次數(shù),以有效降低備份的 RPO 值減少企業(yè)的損失。
2、海量虛擬機(jī)環(huán)境
鼎甲迪備可以在虛擬機(jī)數(shù)量巨大、虛擬化平臺(tái)結(jié)構(gòu)龐大,甚至跨越多個(gè) vCenter 等情況下,實(shí)現(xiàn)跨 vCenter 的備份和恢復(fù)。
透過虛擬機(jī)整機(jī)永久增量備份技術(shù),讓備份時(shí)間窗口不再煩擾。
備份數(shù)據(jù)的高效重復(fù)數(shù)據(jù)刪除,讓備份數(shù)據(jù)的存儲(chǔ)空間不再占用大量的預(yù)算。鼎甲迪備的重復(fù)數(shù)據(jù)刪除比例高達(dá)80-90%。
3、核心數(shù)據(jù)庫(kù)備份
鼎甲迪備不但可以備份虛擬機(jī),還可以通過安裝 Agent 的方式,將虛擬機(jī)內(nèi)部的數(shù)據(jù)庫(kù)進(jìn)行備份。鼎甲迪備的連續(xù)日志備份技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)庫(kù)的物理在線備份和日志備份,其恢復(fù)顆粒度可達(dá)事務(wù)級(jí),如 Oracle 的一個(gè) SCN 號(hào)或 MySQL 的一個(gè) GTID 。
4、二級(jí)冷備
在線備份解決的是快速高效的備份和恢復(fù),而二級(jí)冷備則解決了數(shù)據(jù)級(jí)的多副本容災(zāi)問題,二級(jí)冷備可通過磁帶庫(kù)、異地物理節(jié)點(diǎn)傳輸、對(duì)象存儲(chǔ)、藍(lán)光光盤塔等方式實(shí)現(xiàn),讓數(shù)據(jù)高枕無(wú)憂。
鼎甲作為國(guó)內(nèi)領(lǐng)先的數(shù)據(jù)保護(hù)產(chǎn)品提供商,面向傳統(tǒng)數(shù)據(jù)中心、云計(jì)算、大數(shù)據(jù)三大場(chǎng)景,為客戶提供包括數(shù)據(jù)保護(hù)、數(shù)據(jù)副本管理、多云數(shù)據(jù)管理、數(shù)據(jù)存儲(chǔ)等產(chǎn)品和服務(wù),業(yè)務(wù)已覆蓋政府、金融、運(yùn)營(yíng)商、能源、醫(yī)療、教育等關(guān)鍵領(lǐng)域行業(yè),深得客戶認(rèn)可。
如今,鼎甲已憑借自研的數(shù)據(jù)保護(hù)系列產(chǎn)品,成功服務(wù)于數(shù)字廣東、數(shù)字福建、數(shù)字河南、廣東電信、廣東郵政、上海政務(wù)云等眾多客戶,提供全面的數(shù)據(jù)保護(hù)解決方案。根據(jù)國(guó)際權(quán)威調(diào)研機(jī)構(gòu) IDC 近年的市場(chǎng)分析報(bào)告顯示,鼎甲已連續(xù)三年(2018、2019、2020H1)奪得災(zāi)備一體機(jī)市場(chǎng)中國(guó)品牌第一名。
03
最后,一些對(duì)付勒索病毒的建議
1、要備份;
2、天天備份;
3、備份的備份。