虛擬機器管理程式一旦遭到入侵，它們就會成為攻擊者的強大輔助，可能同時危及數十甚至數百台虛擬機器的安全。與傳統終端不同，虛擬機器管理程式的可見性和防護能力通常有限，這意味著傳統的安全工具可能在攻擊發生前都無法察覺，直到為時已晚。

從Huntress在安全營運中心（SOC）和威脅狩獵領域的案例數據顯示，2025年針對虛擬機器管理程式的勒索軟體數量出現了驚人的激增，其在惡意加密中的佔比從上半年的3%飆升至下半年的25%，攻擊者越來越多地將目標對準虛擬機管理程序，以大規模部署勒索軟體。推動這一趨勢的主要力量是 Akira 勒索軟體組織。這項轉變凸顯了加強虛擬機器管理程式層的重要性，其力度應與加強終端和伺服器的力度相同。

虛擬機器管理程式：勒索軟體行動的新戰場

在 2025 年的最後幾個月裡，Huntress 觀察到攻擊者以虛擬機器管理程式為目標，試圖繞過終端和網路安全控制。

隨著防禦者不斷加強終端機和伺服器的安全防護，攻擊者正日益將注意力轉移到虛擬機器管理程式層，也就是虛擬化基礎設施的基礎－1 型（「裸機」）虛擬機管理程式是基礎架構，直接安裝在伺服器硬體上；2 型（「託管」）虛擬機管理程式則是執行在常規電腦作業系統之上的應用程式。這種轉變遵循著一套熟悉的模式。

我們已經看到，針對 VPN 設備的攻擊就屬於這種情況：攻擊者意識到，宿主作業系統通常是專有的或受限的，這意味著防御者無法安裝諸如 EDR 之類的關鍵安全控制措施，這就造成了一個重大的安全盲點。

同樣的原則也適用於 1 型虛擬機器管理程式，它們是最終的「登錄並擴展」目標，傳統終端安全措施往往無法觸及。我們也觀察到多起勒索軟體業者直接透過虛擬機器管理程式部署勒索軟體有效載荷的案例，完全繞過了傳統的終端保護措施。

在某些情況下，攻擊者會利用 openssl 等內建工具對虛擬機磁碟區進行加密，從而避免上傳自訂勒索軟體二進位。一旦入侵網絡，攻擊者通常會利用被盜用的內部身分驗證憑證，在網路分段未能阻止橫向移動到虛擬機器管理程式管理頁面的環境中，轉向虛擬機器管理程式，這種做法使他們能夠透過單一管理介面控制多個客戶機系統。

我們發現有人濫用 Hyper-V 管理實用程式來修改虛擬機器設定並破壞安全功能，這包括停用端點防禦、篡改虛擬交換機以及為大規模部署勒索軟體做準備。

1. 確保存取安全，強制執行最小權限原則，並將管理平面分開。

如果攻擊者能夠取得虛擬機器管理程式的管理員憑證，他們就可以部署勒索軟體有效載荷，從而影響主機上的所有虛擬機器。此外，在 ESXi 中使用網域加入帳戶（例如，Active Directory (AD) 帳戶）會增加橫向移動的風險。防範這類風險的方法：

• 使用本機 ESXi 帳戶，避免使用通用網域管理員帳號進行管理。相反，應建立專用的本機 ESXi 帳戶，或建立權限嚴格受限且經過稽核的網域帳戶，並僅授予必要的權限。
• 強制執行多因素身份驗證 (MFA)，所有關鍵基礎設施都必須強制執行此操作。對主機管理介面和 vCenter 存取強制執行 MFA，以防止憑證被盜。攻擊者一旦掌握了被盜的用戶名和密碼，就會被阻止訪問，從而顯著增加成功入侵所需的難度。
• 將主機管理網路隔離，將虛擬機器管理程式的管理網路與生產網路和一般使用者網路隔離。建立一個邏輯上和/或實體上獨立的專用 VLAN 或網段。透過限制可以嘗試連接到虛擬機器管理程式管理介面的端點數量，可以大幅減少潛在的攻擊面。
• 部署跳板機或堡壘伺服器，為確保所有管理存取均經過稽核和控制，請部署跳板機或堡壘伺服器，IT 管理員必須先存取伺服器，然後才能存取虛擬機器管理程式，此設定可避免來自安全性可能較低的管理員工作站的直接連線。
• 應用最小權限原則 (PoLP)，嚴格限制對控制平面（vCenter 和各個主機）的存取。僅向管理員和服務帳戶授予必要的管理功能（例如資源管理或修補程式）所需的最低角色，強制執行 PoLP 可確保單一帳戶的潛在安全漏洞不會被利用來對整個虛擬化環境進行大規模變更。
• 將管理存取權限限制在專用管理設備上，限制 ESXi 管理介面的存取權限，使其僅允許具有靜態 IP 位址的特定管理設備存取。這透過確保只有已知且授權的端點才能嘗試連接到虛擬機器管理程序，從而創建了額外的安全屏障，進而縮小攻擊面。

2. 鎖定虛擬機器管理程式運行時環境並強制執行程式碼/執行控制

虛擬機器管理程式層級勒索軟體的獨特風險之一在於，一旦攻擊者進入主機，他們就可以在虛擬機器管理程式層運行程式碼，繞過客戶作業系統的控制機制。因此，組織需要加固主機，使其僅運行預期的、經過簽署的程式碼和受信任的模組。防範這類風險的方法：

• 啟用進階主機設定VMkernel.Boot.execInstalledOnly = TRUE，這樣只有透過簽署 VIB 安裝的二進位檔案才能執行，從而防止自訂的惡意二進位檔案在主機上運行。
• 不使用時會停用/關閉不必要的服務，例如 SSH 或 ESXi Shell；啟用鎖定模式。

3. 保持虛擬機器管理程式修補更新，並盡量減少暴露在外的表面積。

攻擊者正積極利用已知漏洞攻擊 ESXi 主機，進行大規模加密操作，零時差漏洞和 CVE 漏洞不太可能是造成攻擊的最常見/真正原因，安全隔離措施的漏洞才是更可能的原因。然而，及時修補漏洞至關重要。

例如，CVE-2024-37085就完美地凸顯了這種虛擬機器管理程式風險。該漏洞允許擁有足夠 AD 權限的攻擊者繞過身份驗證，並立即奪取 ESXi 主機的完全管理控制權，從而在幾秒鐘內對所有虛擬機器進行大規模加密。

該漏洞利用的原理是，易受攻擊的 ESXi 主機會自動授予「ESX Admins」AD 群組完整的管理員權限。攻擊者只需重新建立該群組，即可立即掌握主機的控制權。

這些最初的漏洞通常始於未修補的管理介面或暴露的協議，例如服務位置協定 (SLP)，這些協定提供了一個低成本的入口點。防範這類風險的方法：

• 維護所有 ESXi 主機（以及 vCenter 等相關管理元件）及其修補程式層級的清單。
• 優先考慮供應商提供的安全性修補程式和更新，特別是與虛擬機器管理程式相關的 CVE。
• 停用或限制您不需要的服務，或確保這些服務未對外暴露。服務位置協定 (SLP/連接埠 427) 已被 ESXArgs 等勒索軟體組織利用，因此應停用該協定。請遵循VMware 的官方修復指南。
• 確保 ESXi 主機在管理過程中不會直接暴露於網際網路。請使用 VPN、堡壘主機或隔離的管理網路。

4. 備份策略、不可變快照和快速復原能力

即使採取強而有力的預防措施，風險依然存在。虛擬機器管理程式層影響巨大；備用方案不可或缺。許多指南都強調，恢復是最後一道防線。針對 ESXi 的勒索軟體通常會加密 VMDK 檔案和主機檔案；如果沒有良好的備份，您可能必須支付贖金。防範這類風險的方法：

• 採用「3-2-1」備份規則：至少擁有三份資料副本，分別儲存在兩種不同的媒體上，且一份副本異地/位於虛擬機器管理程式網路之外。
• 使用不可變的備份儲存庫或快照，這樣一旦寫入，勒索軟體就無法修改或刪除它們。
• 請勿將備份儲存庫連線至 Active Directory 或任何集中式身分識別管理系統。相反，請使用單獨的、未加入網域的專用本機帳戶，以防止因 AD 憑證外洩而導致勒索軟體直接傳播到您的關鍵備份位置。
• 確保備份包含完整的虛擬機器鏡像和相關的虛擬機器管理程式狀態，以便您可以快速重建。
• 定期測試備份。不僅要確認可以掛載備份並存取文件，還要確保作業系統能夠完全啟動，並且可以使用已知的憑證登入。
• 至少每年進行一次全面恢復演練。想當然會導致更長的停機時間。以下是一些其他注意事項：

―          你們是否曾在異地和/或故障轉移地點進行測試？

―          請確認您的伺服器網路連線正常嗎？您可以從生產終端存取這些故障轉移伺服器嗎？

―          備份站點/故障轉移位置的防火牆是否已具備必要的允許清單和防火牆規則，以確保關鍵工具（如 EDR、RMM 和 VPN 用戶端）的正常通訊？

5. 監控、偵測異常情況並假定有入侵（縱深防禦）

由於虛擬機器管理程式層通常對傳統的端點安全工具（例如 EDR）較不可見，因此需要採用替代的偵測策略。攻擊者通常會執行一些操作，例如更改 VIB 接受等級、啟用 SSH、停用鎖定模式或建立新的管理員帳戶，作為部署勒索軟體有效載荷的前期步驟。如果沒有監控，您可能只能在加密完成後才能偵測到該事件。防範這類風險的方法：

• 將 ESXi 日誌轉送至您的 SIEM，並為關鍵可疑事件（如新的 root 登入、服務啟用、VIB 接受變更、資料儲存卸載）建立警報。
• 監控配置是否有偏差。如果任何主機停用了鎖定模式、啟用了 SSH 或關閉了 execInstalledOnly 功能，請將其標記以供審查。
• 記錄網路流量管理日誌。還記得我們之前建議將 ESXi 和其他關鍵基礎設施控制面板放在獨立的 VLAN 或網段中嗎？現在是時候尋找存取虛擬機器管理程式管理介面的異常來源 IP 位址（理想情況下，您應該只允許來自跳轉伺服器的流量）、橫向移動嘗試，或與虛擬機器加密一致的大型資料儲存 I/O 模式了。
• 對虛擬機器管理程序採取零信任理念，假設憑證可能已洩露，並據此建立警報。
• 與傳統的系統日誌格式不同，ESXi 將日誌依特定活動分類到不同的檔案。以下是偵測和調查虛擬機器管理程式入侵的最關鍵日誌檔案：/var/log/auth.log（驗證事件）、/var/ log/hostd.log （主機代理程式活動）、/var/log/shell.log（ESXi shell 指令）和/var/log/vobd.log（VMware觀察者守護程式）。有關日誌設定指南，請參閱Broadcom 的文檔和Sygnia 的 ESXi 防禦策略。

與第三方安全營運中心 (SOC) 或託管檢測與回應 (MDR) 供應商合作時，請考慮建立責任共擔模式。您的外部安全合作夥伴可能缺乏必要的業務背景，無法區分例行內部維護和凌晨 2 點的惡意入侵。

這種區別至關重要：第三方安全營運中心 (SOC) 最能檢測到普遍存在的惡意行為，例如勒索軟體的執行。為了增強這種能力，我們建議您的內部安全團隊專注於監控內部威脅和只有他們才能理解的行為，例如深夜登入並啟用 SSH。

為了使這種模式成功，IT團隊必須嚴格遵守變更控制流程，並將所有預期的虛擬機器管理程序變更告知內部安全部門。這確保了安全營運中心（SOC）了解所有預期活動，使各方能夠將精力集中在最有效的地方。

結論

保護 ESXi 等裸機虛擬機器管理程式免受勒索軟體攻擊需要採取分層、主動的方法。從補丁和存取控制，到運行時加固和恢復準備，再到檢測和日誌記錄，您需要面面俱到。

組織應該捫心自問：我們上次全面更新並測試 IRP 和 DRP 是什麼時候？特別是確認恢復和運行所有客戶虛擬機器的能力？儘管受組織委託的第三方安全營運中心會盡最大努力進行預防和偵測，但組織仍應做好應對安全漏洞入侵的準備。

如果將本文的防禦指引融入組織的環境和安全流程中，就能大幅提高勒索軟體攻擊者的門檻。


資料來源：https://www.bleepingcomputer.com/news/security/the-hidden-risk-in-virtualization-why-hypervisors-are-a-ransomware-magnet/