VMware VMware ESXi XML уязвимость виртуальная машина бэкдор Mandiant
Хакеры хорошо понимают работу платформы VMware и устанавливают бэкдоры на виртуальные машины.
Исследователи компании
Mandiant - компания, специализирующаяся на информационной безопасности, цифровой криминалистике и реагированием на инциденты."
data-html="true" data-original-title="Mandiant"
>Mandiantподробно описали новую технику , используемую хакерами для получения административного доступа к гипервизорам
VMware — поставщик программного обеспечения для виртуализации и облачных вычислений, базирующийся в Пало-Альто, Калифорния. Компания VMware, основанная в 1998 году, является дочерней компанией Dell Technologies. Корпорация EMC первоначально приобрела VMware в 2004 году; Позже EMC была приобретена Dell Technologies в 2016 году. VMware основывает свои технологии виртуализации на своем гипервизоре ESX/ESXi без операционной системы с архитектурой x86."
data-html="true" data-original-title="VMware"
>VMware ESXi и захвата серверов vCenter, а также виртуальных машин для Windows и Linux для выполнения следующих действий:
Отправка гипервизору команд, которые перенаправляются на гостевую виртуальную машину для выполнения;
Передача файлов между гипервизором ESXi и запущенными гостевыми машинами;
Управление службой ведения журналов на гипервизоре;
Выполнение произвольных команд и их перенаправление с одной гостевой машины на другую, работающую на том же гипервизоре.
Целенаправленный и уклончивый характер этой атаки наводит экспертов на мысль, что атака была осуществлена в целях кибершпионажа связанной с Китаем группировкой UNC3886.
В атаке, расследованной Mandiant, злоумышленники использовали вредоносные пакеты установки vSphere (vSphere Installation Bundles, VIBs) для установки двух бэкдоров на гипервизоры ESXi, отслеживаемых как VIRTUALPITA и VIRTUALPIE.
По словам экспертов, киберпреступнику необходимы привилегии уровня администратора для гипервизора ESXi, чтобы он смог развернуть вредоносное ПО. Стоит отметить, что на данный момент не известно об использовании эксплойтов для получения начального доступа или развертывания вредоносных VIB-файлов.
VIBs — это наборы файлов , предназначенные для управления виртуальными системами. Их можно использовать для создания задач запуска, настраиваемых правил брандмауэра или развертывания настраиваемых двоичных файлов после перезапуска машины ESXi. VIBs состоят из следующих компонентов:
XML-файл дескриптора (описывает содержимое VIB);
Полезная нагрузка VIB (архив .vgz);
Файл подписи — цифровая подпись, используемая для проверки уровня принятия хостом VIB-файлов.
XML-файл представляет собой конфигурацию, которая содержит ссылки на:
Полезную нагрузку для установки;
Метаданные VIB, такие как имя и дата установки;
Файл подписи VIB.
Исследователи Mandiant обнаружили, что злоумышленники могли изменить параметр Acceptance Level в XML-дескрипторе с «сообщество» на «партнер», чтобы создать впечатление, что он был создан доверенным лицом. Однако, ESXi по-прежнему не позволяла установить VIB-файл, тогда хакеры использовали флаг «–force», чтобы отключить проверку коммитов и выполнить перезапись истории. Это позволило установить вредоносные VIB-файлы, поддерживаемые сообществом.
Киберпреступники использовали эту технику для установки на скомпрометированную ESXi машину бэкдоров VIRTUALPITA и VIRTUALPIE:
VIRTUALPITA — это 64-битный пассивный
Бэкдор — это тип вредоносного ПО , которое сводит на нет обычные процедуры аутентификации для доступа к системе. В результате предоставляется удаленный доступ к ресурсам внутри приложения, таким как базы данных и файловые серверы, что дает злоумышленникам возможность удаленно выполнять системные команды и обновлять вредоносное ПО."
data-html="true" data-original-title="Бэкдор"
>бэкдор, который создает прослушиватель на жестко заданном номере порта на сервере VMware ESXi. Вредоносное ПО поддерживает выполнение произвольных команд;
VIRTUALPIE — это Python бэкдор, который поддерживает произвольное выполнение команд, возможность передачи файлов и возможность создания обратной оболочки.
Исследователи также обнаружили уникальный образец вредоносного ПО под названием VirtualGate, который включает дроппер и полезную нагрузку. Вредоносный код размещался на зараженных гипервизорах.
Исследователи Mandiant ожидают, что теперь другие киберпреступники будут использовать информацию, изложенную в исследовании, чтобы создавать аналогичные возможности.
SECURITYLAB.RU
.png)
