Leslie 2025-09-10 09:18 上海
安小圈
🔍 攻击者利用钓鱼邮件和宏病毒,在员工电脑上植入远程访问木马,获得初始入侵点。
🚀 攻击者利用内部网络进行横向移动,扫描并发现开放443端口且存在CVE-2021-21974漏洞的ESXi主机。
💥 攻击者利用漏洞利用工具和ESXiArgs勒索软件脚本,成功获取ESXi主机的最高控制权,并加密所有虚拟机数据。
📉 Alpha Corp的核心业务系统完全中断,遭受重大损失。
📚 该案例警示企业,即使是内部系统,也必须及时修复高危漏洞,并部署防勒索检测手段,防止类似攻击发生。
Leslie 2025-09-10 09:18 上海
安小圈
在一个ESXi主机没有暴露在公网的、更常见的企业环境中,详细说明攻击者如何通过“横向移动”最终攻陷这台看似安全的宿主机。
客户名称: 匿名 (我们称之为 "Alpha Corp")
业务: 一家拥有健全IT基础设施的金融服务公司。其核心交易系统、客户数据库和内部应用都运行在位于公司内部数据中心的VMware ESXi虚拟化平台上。
所有的ESXi主机和vCenter Server都位于一个严格隔离的管理网络VLAN中,绝对没有暴露在公共互联网上。只有特定的内部网段(如IT管理员的办公网段)才能访问它们。
防火墙策略:公司部署了强大的边界防火墙,严格控制着内外网的通信。
致命疏忽:尽管网络隔离做得很好,但IT团队在补丁管理上有所松懈。他们认为“既然是内部系统,威胁等级较低”,因此部分ESXi主机仍然是较旧的版本(如6.7 U3),并未修复CVE-2021-21974 (OpenSLP) 这个漏洞。
这次的攻击完美地诠释了现代网络攻击的典型模式。
钓鱼邮件: 攻击的起点并非服务器,而是一名普通员工。财务部门的一位员工收到一封看似来自合作伙伴的、带有发票附件的钓鱼邮件。
员工中招: 该员工打开了恶意的Word文档附件。文档利用宏病毒,在后台静默地下载并执行了一个恶意软件加载器。
建立“滩头阵地”: 该恶意软件在员工的办公电脑上成功植入了一个远程访问木马(RAT) 或 Cobalt Strike Beacon。这台电脑成为了攻击者进入公司内网的第一个立足点。此时,攻击者可以像操作自己的电脑一样,远程操作这台受感染的机器。
扫描内网: 攻击者利用这台受感染的员工电脑作为跳板,开始对公司内部网络进行全面的扫描和侦察。他们使用nmap等工具,探测内网中存活的主机、开放的端口和服务。
发现高价值目标: 在扫描结果中,攻击者发现了一些IP地址(例如 10.1.5.x 网段)开放了443端口,并且HTTP响应头暴露了它们是 "VMware ESXi" 或 "vCenter Server"。他们立刻意识到,已经找到了虚拟化平台的管理入口。
发现致命漏洞: 攻击者对这些ESXi主机的IP进行了更详细的端口扫描,发现它们的 427端口(OpenSLP服务)是开放的。通过发送特定的探测包,他们确认这些主机存在 CVE-2021-21974 漏洞。
传送攻击载荷: 攻击者通过他们控制的员工电脑,将针对CVE-2021-21974的攻击载荷和ESXiArgs勒索软件脚本,传送到了内网。
执行漏洞利用: 从这台员工电脑上,攻击者向内部ESXi主机的IP地址(10.1.5.10)的427端口发起了攻击。
攻陷宿主机: 尽管攻击流量来自内网,但存在漏洞的OpenSLP服务并不会区分来源。它同样处理了这个恶意数据包,触发了堆溢出,使得攻击者成功获取了ESXi宿主机的最高控制权(RCE)。
攻击者已经站在了虚拟化平台的顶端:
强制关闭虚拟机: esxcli vm process kill 命令关闭了所有正在运行的核心业务系统虚拟机。
加密所有数据: 加密脚本开始疯狂地加密数据存储上的所有 .vmdk 和 .vmx 文件。公司的交易数据、客户信息、应用程序在几分钟内全部变成了无法访问的乱码。
留下勒索信: 在每个虚拟机的目录留下勒索信息,宣告攻击完成。
影响: 结果是灾难性的。公司的核心业务完全中断。内部最重要的资产却被一锅端。由于攻击来自内部“受信任”的区域,很多内部监控系统甚至都没有发出警报。
🔄
攻击者一旦进入内网,其威胁性远超外部攻击。他们会利用内部网络的“平坦”特性,不断移动和探测,直到找到最有价值、最薄弱的环节。
🩹
“内部系统威胁小”的想法是导致此次灾难的根本原因。无论是内部系统还是外部系统,高危漏洞都必须在第一时间修复。漏洞本身才是武器,无论它从哪里发射。
🛡️
如果Alpha Corp在VMware ESXi上面部署了相关的安全防护软件,比如具备杀毒或者防勒索的安全防护,那么攻击者即使控制了员工PC电脑,在横向移动到VMware ESXi并投放勒索软件时,也会被立刻检测并阻止,从而增加了攻击的难度,能够大大减小整个云环境被勒索加密的可能性。
总结: 这个案例有力地证明了,一台没有暴露在公网的ESXi主机,如果存在未修复的高危漏洞,它依然是极度不安全的。攻击者总有办法通过各种手段进入内网,而一旦进入,这些看似“安全”的内部资产就成了他们最终的、最有价值的攻击目标。所以在VMware ESXi上面部署相关的安全防护软件进行杀毒或者进行勒索防护至关重要
【内容来源:安全+AI】
中国联通DNS故障敲响警钟:DNS安全刻不容缓
2025HVV【技战法】丨0Day漏洞专项篇
护网—2025|严守视频会议“安全门”,谨防信息泄露“一瞬间”
疑似国内护网红队攻击样本被捕获并深度分析
蓝队快速识别隐藏恶意文件的 20个文件特征及查找方法总结【新!】CNNVD通报微软多个安全漏洞
2025-07-11 HW情报分享
【HVV】护网—2025 | 网警公布适用《网络数据安全管理条例》典型案例
微软紧急修复高危蠕虫级RCE漏洞,威胁全网Windows系统
【HVV】护网系列 威胁情报共享7.8
【HVV】护网系列 威胁情报共享7.7
25HVV最新0day更新,各单位自查...
【HW】8个因护网被开除的网安人
HW应急溯源:50个高级命令实战指南
震惊全球!中国团队攻破RSA加密!RSA加密告急?
突发!小红书惊现后门......
2025年“净网”“护网”专项工作部署会在京召开,看看都说了哪些与你我相关的关键内容?
护网在即,企业还有什么新思路可以应对吗?
HW必备:50个应急响应常用命令速查手册二(实战收藏)
【干货】2024 攻防演练 · 期间 | 需关注的高危漏洞清单
攻防演练在即,10个物理安全问题不容忽视
红队视角!2024 | 国家级攻防演练100+必修高危漏洞合集(可下载)
【攻防演练】中钓鱼全流程梳理
攻防演练在即:如何开展网络安全应急响应
【2025】常见的网络安全服务大全(汇总详解)
AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿),附下载
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑