![新的 Python 恶意软件后门 VMware ESXi 服务器用于远程访问]( "新的 Python 恶意软件后门 VMware ESXi 服务器用于远程访问")
一个以前未记录的针对VMware ESXi服务器的Python后门被发现,使黑客能够在受损系统上远程执行命令。
VMware ESXi 是企业常用的虚拟化平台,可在一台设备上托管大量服务器,同时更有效地使用 CPU 和内存资源。 新后门是由 Juniper Networks 研究人员发现的,他们在 VMware ESXi 服务器上发现了后门。但是,由于日志保留时间有限,他们无法确定服务器是如何受到损害的。 他们认为服务器可能已利用 ESXi 的 OpenSLP 服务中的 CVE-2019-5544 和 CVE-2020-3992 漏洞遭到入侵。 虽然该恶意软件在技术上也能够针对 Linux 和 Unix 系统,但 Juniper 的分析师发现有多种迹象表明它是为攻击 ESXi 而设计的。
后门操作
新的 python 后门在“/etc/rc.local.d/local.sh”中添加了七行,这是少数几个在重新启动后仍然存在并在启动时执行的ESXi文件之一。通常,除了一些咨询意见和退出声明外,该文件是空的。
![新的 Python 恶意软件后门 VMware ESXi 服务器用于远程访问]( "新的 Python 恶意软件后门 VMware ESXi 服务器用于远程访问")
其中一行在存储 VM 磁盘映像、日志等的目录中启动一个保存为“/store/packages/vmtools.py”的 Python 脚本。该脚本的名称和位置让 Juniper Networks 相信恶意软件运营商打算专门针对 VMware ESXi 服务器。
此脚本启动一个 Web 服务器,该服务器接受来自远程威胁参与者的受密码保护的 POST 请求。这些请求可以携带 base-64 编码的命令有效负载或在主机上启动反向 shell。反向 shell 使受感染的服务器启动与威胁参与者的连接,这种技术通常有助于绕过防火墙限制或绕过有限的网络连接。
Juniper的分析师观察到的威胁行为之一是更改ESXi反向HTTP代理配置,以允许远程访问与植入的Web服务器通信。由于用于设置此新配置的文件“/etc/vmware/rhttpproxy/endpoints.conf”也会在重新启动后进行备份和恢复,因此对其进行的任何修改都是持久的。
缓解
要确定此后门是否影响了您的 ESXi 服务器,请检查是否存在上述文件以及“local.sh”文件中的其他行。应仔细检查持续重启的所有配置文件是否有可疑更改,并将其恢复为正确的设置。
最后,管理员应将所有传入网络连接限制为受信任的主机,并且尽快应用可用的安全更新。
原文始发于微信公众号(Hack All):新的 Python 恶意软件后门 VMware ESXi 服务器用于远程访问
评论