致力於保護現代網路免受攻擊的Vectra AI,是一家網路安全人工智慧公司,今日發表根據Mandiant最新 M-Trends報告,2025 年上半年全球勒索軟體事件已超過 4,700 起,其中 20% 鎖定 ESXi 環境,平均索贖金額高達 500 萬美元。 這些攻擊不僅加密虛擬機器檔案(VMDK),更透過強迫驗證和橫向移動,讓整個資料中心瞬間癱瘓。而以Mware ESXi 作為虛擬化核心的企業,更是成為駭客眼中的「肥羊」。面對這波「ESXiArgs」變種狂潮,Vecrta AI NDR一套基於網路偵測與回應(NDR)的資安解決方案,成為企業的「隱形鐵壁」,讓駭客的加密陰謀在萌芽階段就灰飛煙滅。即使沒有SIEM,這套NDR也能獨立運作,透過 agentless 部署和 AI 元資料分析,提供端到端防護。
加密攻擊的致命路徑:從 AD 漏洞到全網鎖死
ESXi 加密攻擊的演進,已從單純的檔案鎖定,升級為高度工業化的「大規模狩獵」。Cisco Talos 研究顯示,俄羅斯駭客集團如 Kraken,已將攻擊擴及 Windows、Linux 和 ESXi 平台,利用 CVE-2024-37085 等漏洞,從 Active Directory(AD)權限提升入手。 典型劇本如下:
- 初始入侵:透過社交工程或弱憑證,駭客取得 vCenter 管理介面存取。Microsoft 報告指出,90% 的 ESXi 攻擊從未修補的 AD 整合漏洞(如 CVE-2024-37085)切入,允許重建「ESX Admins」隱藏群組,繞過傳統端點偵測工具(EDR)。
- 橫向擴張:駭客發動強迫驗證攻擊,如 PetitPotam 或 DFSCoerce,利用 MS-EFSR opnum 呼叫強迫 ESXi 主機向惡意 SMB 伺服器驗證,竊取 NTLM hash。這一步常在數分鐘內完成,讓駭客從單一主機跳到整個叢集。
- 加密執行:透過 SSH 推送自訂加密器(如 OpenSSL 變體),先用 vim-cmd 強制關閉所有 VM,然後掃描 /vmfs/volumes 目錄,批量加密 .vmdk 和 .vmx 檔案。Google Cloud 分析顯示,這階段的「高熵寫入」模式是關鍵指標,但傳統 SIEM 往往因 log 海量而錯過。
Sygnia 資安團隊觀察,2025 年新興 RaaS 平台如 shinysp1d3r,更專為 ESXi 設計,結合雙重勒索(資料外洩 + 加密),讓受害者恢復時間從數小時拉長至數週,間接損失可達千萬美元。 CISA 估計,全球仍有超過 3.7 萬台 ESXi 主機暴露 SLP 服務,等著被收割。
NDR 技術:流量「雷達」的逆襲
傳統防護如EDR在ESXi上無力(無 Agent 部署),防火牆則擋不住內網橫移。Vectra AI NDR不依賴端點 log 或 SIEM,而是透過 AI 驅動的元資料分析,監控全網流量,捕捉駭客的「行為足跡」。CrowdStrike 和 Splunk 等研究證實,NDR 能即時辨識異常 RPC 呼叫、NTLM 中繼和高熵寫入,將偵測時間從小時壓縮至分鐘。 對於沒有 SIEM 的環境,NDR 的 agentless 設計讓部署僅需數小時,無需額外整合,就能獨立處理威脅調查與回應。
在實戰中,Vectra AI 的NDR核心優勢在於「預測性預警」,即使單獨運作也能高效偵測與回應:
- 即時流量掃描:監控 ESXi 邊緣的 SLP 流量與 DCE/RPC 呼叫,自動標記如 MS-RPRN opnum 65 的強迫驗證嘗試。Forescout 報告顯示,這能阻絕 85% 的橫向移動。
- AI 行為基準:建立 ESXi 環境的「正常脈絡」,偵測 certutil 下載惡意酬載或「不可能旅行」登入模式。Check Point 案例顯示,NDR 在加密前 48 小時觸發警報,MTTR(平均回應時間)降至 5 分鐘內。
- 自動回應整合:與 vSphere API 無縫連結,一鍵觸發快照備份與節點隔離。StoneFly 指南強調,這避免了付贖金的必要,恢復成本降 70%。
VMware 安全回應中心(vSRC)也認同,NDR 等流量監控是補丁外的「第二防線」,尤其對 vSphere 7(10 月終止支援)的老舊系統。 這套技術的模組化設計,讓它能作為獨立工具,輕鬆融入現有安全堆疊,而非依賴 SIEM 的複雜關聯。
企業防禦藍圖:從被動到主動
面對2026年預測網路攻擊將極速增長至30%,資安專家建議防禦三步驟,特別適合無 SIEM 環境:
- 補丁與硬化:立即修補 CVE-2024-37085,停用 SLP 服務,強制 Kerberos 取代 NTLM。
- NDR 獨立部署:直接拉 ESXi 流量,內建儀表板與 SOAR 劇本,實現端到端監控,無需 syslog 轉發或外部 SIEM。
- 韌性備份:採用空氣隔離(air-gapped)和不可變備份,定期測試恢復。Heimdal Security 強調,這是「不付贖金」的關鍵。
根據TechTarget的預測,到2025年底,企業組織導入NDR將翻倍成長,成為虛擬化安全的「新常態」。 在這場網路戰爭中,NDR 不只是工具,更是企業從「受害者」轉為「獵人」的轉捩點。Vectra AI建議立即評估組織的ESXi 暴露風險,以免成為下一個受害者。
關於 Vectra AI 公司
Vectra AI 公司是一家網路安全人工智慧公司,致力於保護現代網路免受現代攻擊。Vectra AI 平台提供人工智慧驅動的網路偵測與回應 (NDR) 功能,能夠發現並阻止資料中心、園區、遠端辦公、身分管理、雲端和 OT 環境中的威脅。在首份 Gartner® 網路偵測與回應魔力象限報告中,Vectra AI 被評為領導者,並在執行能力和願景完整性方面均名列第一。憑藉 35 項人工智慧安全專利以及在 MITRE D3FEND 中最多的廠商推薦,全球眾多組織機構都依賴 Vectra AI 來發現並阻止其他工具無法識別的攻擊。欲了解更多訊息,請訪問 www.vectra.ai。
熱門新聞
2026-01-23
2026-01-16
2026-01-21
2026-01-21
2026-01-19
2026-01-20
