记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

DarkSide针对VMware EXSI系统进行加密

2021-05-13 22:54

安全分析与研究

专注于全球恶意软件的分析与研究

前言

最近黑客组织利用DarkSide勒索病毒对Colonial Pipeline 发起勒索攻击,国内外各大安全厂商和安全媒体也都有相关报道,DarkSide勒索软件是从2020年8月出现,并以(RAAS)勒索即服务的商业模式进行运作,此勒索病毒不仅可以部署基于Windows的勒索病毒样本攻击Windows计算机,而且还可以部署ELF二进制文件版本,用来攻击Linux计算机上的数据。与Windows勒索病毒版本不同的是,DarkSide勒索病毒Linux版本专门针对VMware EXSI虚拟机文件进行加密。


勒索病毒

笔者从某地下恶意软件论坛下载到该病毒样本,该勒索病毒运行之后,如下所示:

该勒索病毒会加密VMware EXSI管理系统在/vmfs/volumes/目录下的后缀名为vmdk,vmem,vswp,log等的虚拟机文件,勒索提示信息文件,如下所示:

同时该勒索病毒还会获取VMware EXSI系统的主机用户名等相关信息,发送到DarkSide勒索病毒的远程服务器,同时勒索病毒会在/tmp下生成software.log日志文件,如下所示:

在2020年2月份CrowdStrike的研究人员就发现有两个黑客组织Sprite Spider和Carbon Spider企图对VMware ESXI虚拟机系统管理程序进行攻击,而且这种有针对性的大规模勒索软件活动被称为大型游戏狩猎(BGH),Sprite Spider组织会利用Defray777发起勒索攻击,而Carbon Spider组织会利用DarkSide发起勒索攻击。


2021年3月中旬,国内外又有大量用户反馈,自己的虚拟机被加密,无法连接,生产环境停线等,通过安全专家调查发现VMware ESXI系统虚拟机文件被加密无法打开,所以安全厂商猜测是黑客组织对之前的攻击行为进行了升级,使用了VMware EXSI的最新的漏洞发起勒索病毒攻击。


其实早在CrowdStrike报道之前,最早DarkSide应该在2020年11月就被发现用于攻击VMware EXSI虚拟机管理程序,加密VMware EXSI虚拟机文件,只是当时的攻击手法跟Defray777勒索病毒的攻击手法不一样,笔者研究的这个DarkSide样本也是2020年11月被最早发现的那个样本。


总结

Carbon Spider黑客组织之前一直通过部署Sodinokibi勒索病毒来进行勒索攻击,2020年8月才首次推广自己的DarkSide勒索软件,也是为了避免与Sodinokibi勒索病毒的供应商Pinchy Spider共享利润,根据国外安全厂商或研究人员监控,从2020年8月到2021年5月,DarkSide勒索病毒背后的黑客组织一直没有停止对全球发起网络攻击活动,相关的受害国家和企业,如下所示:

图片来源于网络


不仅仅是DarkSide勒索病毒在不断发起攻击,其他主流的几款勒索病毒也是一样的,他们不断的寻找的新的目标,谁将会是下一个被攻击的目标呢?


勒索病毒在未来几年仍然是最大的网络安全威胁之一,只是随着越来越多技术成熟的黑客组织加入进来,勒索攻击会变的越来越复杂,使用的技术手段会更多,利用的漏洞也会更多,攻击的平台也会越多,同时勒索病毒攻击已经发展成以定向攻击为主要攻击方式。


其实Linux下的勒索病毒几年前就已经出现了,笔者在四年多以前就分析过一款Linux 勒索病毒KillDisk,有兴趣可以去参考笔者之前写的文章,文章链接:https://xz.aliyun.com/t/284,如下所示:

现在大部分勒索病毒仍然以Windows平台为主,好几年前笔者还分析过很多安卓平台锁屏类勒索病毒,随着云计算的发展,早在2019年开始,一些黑客组织就已经把攻击目标转向了云计算,开始对全球各地的云计算服务器进行大规模的扫描行动,寻找着下一个攻击目标......

 

 

更多勒索病毒相关信息,可以查看笔者之前写的《勒索病毒专辑报道》

 

同时如果你对恶意软件威胁情报感兴趣,可以加入我的全球恶意软件研究中心专业群,群里有很多优秀的恶意软件分析与研究从业人员,也有很多不错的刚入道的年轻人,他们当中有些人真的是在踏踏实实的分析和研究恶意软件,非常不错,安全行业还是有很多不错的年轻人的,就像笔者之前所说的,安全行业在未来的5-10年时间将是一个全新的发展黄金时期,需要更多这样的愿意花时间和精力研究安全技术的年轻人,坚持做安全研究,大家一起努力,共同进步,在分析和研究过程中遇到什么问题,可以在群里交流讨论,互相帮助。

王正


笔名:熊猫正正


恶意软件研究员


长期专注于全球各种流行恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密远控木马、银行木马、僵尸网络、APT攻击类样本都有深入的分析与研究


心路历程:从一无所知的安全小白菜,到十几年安全经验的老白菜,安全的路还很长,一辈子只做一件事,坚持、专注,专业!



知识来源: https://mp.weixin.qq.com/s?__biz=MzA4ODEyODA3MQ==&mid=2247486898&idx=1&sn=afb6b88c38bf7bec934f83eb12c02e3c

阅读:101211 | 评论:0 | 标签:加密

想收藏或者和大家分享这篇好文章→复制链接地址

“DarkSide针对VMware EXSI系统进行加密”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁