Bilgisayar korsanları, algılamadan kaçınırken Windows ve Linux için vCenter sunucularını ve sanal makineleri kontrol etmek için VMware ESXi hiper denetleyicilerinde kalıcılık oluşturmak için yeni bir yöntem buldu.
Saldırgan, kötü niyetli vSphere Kurulum Paketlerinin yardımıyla, araştırmacıların VirtualPita ve VirtualPie olarak adlandırdığı iki arka kapıyı çıplak metal hipervizöre kurmayı başardı.
Araştırmacılar ayrıca, bir damlalık ve bir yük içeren VirtualGate adını verdikleri benzersiz bir kötü amaçlı yazılım örneğini de ortaya çıkardılar.
aldatma güven
Siber tehdit istihbarat şirketi Mandiant’taki güvenlik araştırmacıları, bu yılın başlarında bir olay müdahale çalışmasında (Google tarafından satın alındı), Çin ile bağları olduğundan şüphelenilen bir aktörün VirtualPita ve VirtualPie kötü amaçlı yazılımını dağıtmak için kötü amaçlı vSphere Kurulum Paketleri (VIB’ler) kullandığını tespit etti.
VIB, bir ESXi görüntüsü oluşturmak veya sürdürmek için bir dosya paketidir. Yöneticinin, başlangıç görevleri, güvenlik duvarı kuralları oluşturarak veya makine yeniden başlatıldığında ikili dosyalar çalıştırarak ESXi kurulumunun nasıl davranacağını yönetmesini sağlar.
VIB paketi aşağıdakileri içerir:
- genellikle “yük” dosyaları olarak adlandırılan ve ana bilgisayara yüklenmesi gereken bir arşiv
- VIB gereksinimleri, bağımlılıklar, uyumluluk sorunları, kurulacak yük, ad, kurulum tarihi hakkında bilgi içeren bir XML tanımlayıcısı
- VIB’nin üreticisini ve onunla ilişkili güven düzeyini doğrulayan imza dosyası
VIB’ler, VMware (şirket tarafından oluşturulan ve test edilen), onaylı ortaklar veya topluluk (bireyler veya üçüncü taraf ortaklar gibi VMware programı aracılığıyla kabul edilen bir kaynak değil) tarafından oluşturulabilir.
Olayın soruşturması sırasında Mandiant, UNC3886 olarak izlenen tehdit aktörünün, saldırıda kullanılan VBI için XML tanımlayıcısındaki kabul seviyesini ‘topluluk’tan ‘ortak’ olarak değiştirdiğini keşfetti.
Değiştirilmiş bir güven düzeyi, ESXi sisteminin varsayılan olarak kabul etmesi için yeterli değildir, ancak saldırgan, kötü niyetli VIB’leri yüklemek için ‘–force’ bayrağını da kullandı.
Ancak daha yakından incelendiğinde, sahte VIB ortaya çıktı ve imza dosyasının VMware tarafından güvenilen bir tarafla ilişkilendirilemeyeceğini gösterdi.
Bu hileleri kullanarak, tehdit aktörü, güvenliği ihlal edilmiş ESXi makinesine VirtualPita ve VirtualPie kötü amaçlı yazılımını yükleyebildi.
Mandiant, “VIRTUALPITA, bir VMware ESXi sunucusunda sabit kodlanmış bir bağlantı noktası numarasında bir dinleyici oluşturan 64 bitlik bir pasif arka kapıdır” diyor. bildiri bugün.
Araştırmacılar, arka kapının genellikle VMware hizmet adlarını ve bağlantı noktalarını kullanarak meşru bir hizmeti taklit ettiğini ekledi. Rastgele komutların yürütülmesine, dosyaların karşıya yüklenmesine ve indirilmesine ve ayrıca kayıt mekanizmasının (‘vmsyslogd’) başlatılmasına ve durdurulmasına izin verir.
Araştırma sırasında, VirtualPita için bir Linux varyantı kalıcı olarak bulundu. init.d Linux vCenter sistemlerinde, meşru ikili dosya adı altında saklanan başlangıç hizmeti ksmd.
VirtualPie, Python tabanlıdır ve bir VMware ESXi sunucusundaki sabit kodlanmış bir bağlantı noktasında arka plan programı haline getirilmiş bir IPv6 dinleyicisi oluşturur. İsteğe bağlı komut satırı yürütmesini destekler, dosyaları aktarabilir ve bir ters kabuk kurabilir.
Virüs bulaşmış hiper yöneticinin altındaki Windows konuk sanal makinelerinde, araştırmacılar, sanal makinede ikinci aşama DLL yükünü kaldıran, yalnızca bellekten oluşan bir damlalık içeren VirtualGate adlı başka bir kötü amaçlı yazılım buldular.
Bu saldırı, tehdit aktörünün hiper yönetici için yönetici düzeyinde ayrıcalıklara sahip olmasını gerektirir. Bu, riski azaltıyor gibi görünse de, düşmanlar genellikle değerli varlıklara ulaşmak veya varlıklarını genişletmek için bir fırsat bekleyerek kurban ağında pusuya yatmaktadır.
Bugün ayrı bir blog yazısında, Mandiant teknik ayrıntılar sağlar savunucuların kötü niyetli VIB’leri tespit ederek ESXi ana bilgisayarlarındaki saldırı yüzeyini nasıl en aza indirebilecekleri hakkında.