黑客找到了一种在 VMware ESXi 虚拟机管理程序上建立持久性的新方法,以控制适用于 Windows 和 Linux 的 vCenter 服务器和虚拟机,同时避免检测。
在恶意 vSphere 安装包的帮助下,攻击者能够在裸机管理程序上安装两个后门,研究人员将其命名为 VirtualPita 和 VirtualPie。
研究人员还发现了一个独特的恶意软件样本,他们称之为 VirtualGate,其中包括一个 dropper 和一个有效负载。
欺骗信任
在今年早些时候的一次事件响应活动中,网络威胁情报公司 Mandiant(被谷歌收购)的安全研究人员发现,一名涉嫌与中国有联系的行为者使用恶意 vSphere 安装包 (VIB) 来传播 VirtualPita 和 VirtualPie 恶意软件。
VIB 是用于创建或维护 ESXi 映像的文件包。它允许管理员通过在计算机重新启动时创建启动任务、防火墙规则或运行二进制文件来管理 ESXi 安装的行为方式。
VIB 软件包包括以下内容:
- 存档,通常称为需要安装在主机上的“有效负载”文件
- 一个 XML 描述符,其中包含有关 VIB 要求、依赖项、兼容性问题、要安装的有效负载、名称、安装日期的信息
- 验证 VIB 的制造商及其相关信任级别的签名文件
VIB 可以由 VMware(由公司创建和测试)、批准的合作伙伴或社区(不是通过 VMware 计划接受的来源,例如个人或第三方合作伙伴)创建。
在对事件的调查过程中,Mandiant 发现威胁行为者(跟踪为 UNC3886)将攻击中使用的 VBI 的 XML 描述符中的接受级别从“社区”修改为“合作伙伴”,以欺骗任何调查它的人。
源中修改的 XML 描述符:Mandiant
修改后的信任级别不足以让 ESXi 系统默认接受它,但攻击者还使用“–force”标志来安装恶意 VIB。
但是,经过仔细检查,伪造的 VIB 变得很明显,表明签名文件无法与 VMware 信任的一方相关联。
使用这些技巧,攻击者能够在受感染的 ESXi 机器上安装 VirtualPita 和 VirtualPie 恶意软件。
“VIRTUALPITA 是一个 64 位被动后门,它在 VMware ESXi 服务器上的硬编码端口号上创建一个侦听器,”Mandiant 在今天的一份报告中说。
研究人员补充说,后门通常通过使用 VMware 服务名称和端口来冒充合法服务。它允许执行任意命令、上传和下载文件,以及启动和停止日志机制(’vmsyslogd’)。
在研究期间,VirtualPita 的 Linux 变体被发现作为 Linux vCenter 系统上的 init.d 启动服务持久存在,隐藏在合法二进制 ksmd的名称下。
VirtualPie 是基于 Python 的,它在 VMware ESXi 服务器上的硬编码端口上生成一个守护进程的 IPv6 侦听器。它支持任意命令行执行,可以传输文件,设置反向shell。
在受感染的虚拟机管理程序下的 Windows 客户虚拟机上,研究人员发现了另一种恶意软件 VirtualGate,其中包括一个仅内存释放器,可对 VM 上的第二阶段 DLL 有效负载进行去混淆处理。
来源:Mandiant
这种攻击要求威胁参与者对管理程序具有管理员级别的权限。虽然这似乎降低了风险,但攻击者通常潜伏在受害者网络中,等待获得有价值资产或扩大其存在的机会。
在今天的另一篇博文中,Mandiant 提供了有关防御者如何通过检测恶意 VIB 来最大限度地减少 ESXi 主机上的攻击面的技术细节。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 新的恶意软件后门VMware ESXi劫持虚拟服务器
