Skip to main content

會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut)

 替你的VMware環境解除「危機」

 在8月21日,有許多媒體報導一種會攻擊VMware虛擬機器的新病毒或惡意軟體。「Crisis」(又稱為Morcut)是在七月下旬就開始散播的新惡意軟體家族,曾經被許多防毒廠商所報導過,包括趨勢科技,主要是會感染Mac OSX機器。而安全研究人員最近發現,有些新的Crisis變種也會感染VMware虛擬機器和Windows Mobile系統。

 

下面是個實用的指南,能夠提供你在面對這類不明疑懼(FUD)事件時所該知道的資訊,以及在短期與長期階段所該做的事情。

 

先來複習一下,今日的虛擬化主要是透過兩種類型的虛擬主機管理程式(Hypervisor)佈署:

 

  • 第一類的虛擬主機管理程式部署 – 最明顯的例子是VMware ESX、Citrix XenSource等。可以將這類產品想成是替代一般主機作業系統(像Windows或Linux),直接在實體機器的硬體上執行。這種軟體就像是作業系統,可以直接控制硬體。管理程式再來同時執行多個虛擬機器。幾乎所有資料中心都是部署這類虛擬化產品。這類軟體並不會被這隻惡意軟體所攻擊。我也不知道實際上有那種在外流通的惡意軟體可以感染第一類虛擬主機管理程式。
  • 第二類的虛擬主機管理程式部署 – 例如VMware Workstation、VMware Player等,這類的虛擬主機管理程式是安裝在個標準的作業系統上(像Windows或Linux),再來執行多個虛擬機器。而這第二種類型是惡意軟體所會感染的。首先,主機作業系統先受到感染。可能是一次已知的Windows或Mac OS攻擊(所以要先偵測作業系統,然後安裝對應的可執行檔)。接著它會尋找VMDK檔案,並且利用虛擬主機工具(VMplayer)來感染虛擬機器。而這類型的感染是可以利用更新的防毒軟體來加以阻擋的。

 

即使這個受感染的虛擬機器被移動並執行在第一類虛擬主機管理程式(假設性的討論),它也會被限制在虛擬機器裡面,因為端點安全程式會防止虛擬機器間的網路流量以及I/O流量。

 

那麼,有什麼大不了的?

虛擬機器就跟實體機器一樣,沒有修補漏洞一樣會讓惡意軟體感染作業系統或是應用程式,或是會被針對使用者的社交工程攻擊成功。有兩件事讓「Crisis」顯得既新且獨特:

 

  • 首先,這惡意軟體會明確的尋找虛擬機器的存在,並試圖加以感染
  • 第二,它會透過底層基礎架構來感染虛擬機器,也就是透過修改vmdk檔案,而不是透過傳統手段,如遠端網路、網頁存取或檔案分享來進入虛擬機器。

 

除了這些有趣的特性之外,我們不認為這惡意軟體有立即性的威脅。在真實世界裡的發病率非常低(小於100個案例),所以它看來不會出現大規模的擴散,或有能力去迅速的散播。話雖如此,如果擔心的話,你還是應該採取一些預防措施:

 

  • 防護你的虛擬機器 – 你珍貴的應用程式和資料是所有攻擊的最終目標,「Crisis」只是讓目標更加明確。要確認在實體機器和虛擬主機上有防毒軟體或其他層次的保護以確保安全,例如趨勢科技Deep Security趨勢科技OfficeScan
  • 限制對VMDK檔案的存取 – 雖然「Crisis」只針對一般主機上的虛擬主機管理程式,而非資料中心。但根本的問題是,任何可存取vmdk檔案的人都可以對你的虛擬桌面或虛擬機器(包括vSphere或View)做出不好的事情。

 

 

@原文參考:Averting a ‘Crisis’ for your VMware environment作者:Warren Wu(資料中心事業群產品協理)

 

Morcut/Crisis(危機)病毒小檔案

Morcut/Crisis(危機)病毒會感染VMWare虛擬機器並且可以在多個系統平臺上運行傳播。Morcut/Crisis(危機)有以下兩點與普通病毒不同:

1、目標明確,它會搜索是否有虛擬機器存在並嘗試感染。

2、通過基礎架構對虛擬機器進行感染。例如通過修改.vmdk檔而不是通過傳統手段如遠端控制或檔共用的方法來入侵虛擬機器。

該病毒通過直接修改在HOST物理伺服器上的VMDK檔對虛擬機器進行感染。也就是說,如果某台HOST物理伺服器(Windows/MAC OS)感染了該病毒,且機器上安裝了VMWARE的工具(WORKSTATION、vSphere、View)等,則該機器有許可權訪問的虛擬機器,都有被感染的風險。感染病毒後,該虛擬機器會有資訊洩漏的風險同時被植入後門

該病毒對虛擬機器的傳播是依賴VMWARE提供的功能,不存在對漏洞的利用,所以一個被感染的VM並不會將病毒傳播到其他VM上。(但可能由於HOST物理伺服器感染,所以其他VM也會被感染)

該病毒的主要惡意行為為竊取資訊和後門,不管是在VM中還是在HOST物理伺服器中,病毒的行為都是一樣的。

 

惡意行為

最初,它是利用一個惡意的Java applet(被檢測為JAVA_MORCUT.A*)來抵達電腦。這個Java applet中包含的代碼會檢測目的電腦運行的是什麼作業系統。

在Mac系統上, Java applet會釋放並且運行OSX_MORCUT.A,該病毒的惡意行為與大多數Windows平臺上的後門程式類似。OSX_MORUCT.A具有最不尋常的行為是能夠打開系統麥克風,可能是為了進行資訊盜竊。

在Windows系統上,這個Java applet會釋放WORM_MORCUT.A。接著釋放其它若干檔,其中之一被檢測為WORM_MORCUT.A;另一些元件檔被檢測為RTKT_MORCUT.A**。它的主要功能是通過USB和虛擬機器進行傳播。它可以搜尋系統上的VMware虛擬磁片並且將自身的病毒副本釋放到虛擬機器中。Windows版本的MORCUT和Mac版本一樣,也能夠錄製音訊。

 

技術細節

被檢測為JAVA_MORCUT.A的JAVA applet會下載一個壓縮包,包含兩個檔:運行在MAC系統上的後門程式OSX_MORCUT.A和運行在Windows系統上的蠕蟲病毒(檢測為WORM_MORCUT.A)。接著,該檔會釋放以下組件檔:

 

Ÿ   IZsROY7X.-MP (32位DLL)定義為WORM_MORCUT.A

Ÿ   t2HBeaM5.OUk (64位DLL)定義為WORM_MORCUT.A

Ÿ   eiYNz1gd.Cfp

Ÿ   WeP1xpBU.wA (32位元驅動程式)檢測為RTKT_MORCUT.A

Ÿ   6EaqyFfo.zIK (64位元驅動程式)檢測為RTKT_MORCUT.A

Ÿ   lUnsA3Ci.Bz7 (32位DLL)非惡意文件

 

根據趨勢科技的初步分析,WORM_MORCUT.A具有透過USB設備和VMware虛擬磁片傳播的能力。它使用的驅動程式元件RTKT_MORCUT.A掛載到虛擬磁片上。雖然該病毒具有較強的傳播能力,但是我們沒有發現大量感染WORM_MORCUT.A和TROJ_MORCUT.A的情況。

 

注意

該病毒在感染過程中並不會利用漏洞。此外,只有VMWare的虛擬機器會受到該病毒的威脅,其他虛擬機器平臺不受影響。此外,幾乎所有的虛擬機器部署的資料中心不會受到影響。

 

解決方案

限制VMDK訪問 “危機”只針對主機的虛擬機器管理程式,而不是資料中心,它會使任何可以訪問.vmdk檔的程式在您的虛擬磁片或虛擬機器上執行惡意行為,其中包括vSphere或View。

保護您的虛擬機器 任何攻擊的最終目標是您有價值的應用程式和資料,“危機”的目標更為明確。確定是否安裝反病毒軟體和其他方面的安全產品來保護您伺服器和桌面的安全,如趨勢科技Deep Security趨勢科技OfficeScan

◎ 歡迎加入趨勢科技社群網站