VMware는 29월 XNUMX일 Mandiant가 ESXi 하이퍼바이저에 여러 개의 영구 백도어를 설치하는 문제가 있는 새로운 기술을 사용하여 중국 기반 위협 행위자를 감지했다고 보고한 후 vSphere 가상화 기술 고객을 위해 긴급한 새로운 완화 조치 및 지침을 발표했습니다.
Mandiant가 관찰한 기술에는 UNC3886으로 추적되는 공격자가 악의적인 VIB(vSphere Installation Bundle)를 사용하여 대상 시스템에 멀웨어를 몰래 넣는 기술이 포함되어 있습니다. 이를 위해 공격자는 ESXi 하이퍼바이저에 대한 관리자 수준 권한이 필요했습니다. 그러나 악성코드를 배포하기 위해 VMware 제품의 취약점을 악용해야 한다는 증거는 없다고 Mandiant는 말했습니다.
광범위한 악성 기능
백도어 Mandiant는 VIRTUALPITA 및 VIRTUALPIE라는 이름을 붙였습니다., 공격자가 다양한 악의적인 활동을 수행할 수 있도록 합니다. 여기에는 ESXi 하이퍼바이저에 대한 지속적인 관리자 액세스 유지가 포함됩니다. 하이퍼바이저를 통해 게스트 VM에 악성 명령 전송 ESXi 하이퍼바이저와 게스트 시스템 간에 파일 전송 로깅 서비스 변조, 동일한 하이퍼바이저에서 VM 게스트 간에 임의의 명령을 실행합니다.
Mandiant의 보안 컨설턴트인 Alex Marvi는 "맬웨어 생태계를 사용하면 공격자가 하이퍼바이저에 원격으로 액세스하고 게스트 가상 머신에서 실행될 임의의 명령을 보낼 수 있습니다."라고 말했습니다. “Mandiant가 관찰한 백도어인 VIRTUALPITA 및 VIRTUALPIE는 공격자가 하이퍼바이저 자체에 대한 대화형 액세스를 허용합니다. 이를 통해 공격자는 호스트에서 게스트로 명령을 전달할 수 있습니다.”
Marvi는 Mandiant가 실행할 명령과 명령을 실행할 게스트 시스템을 지정하는 별도의 Python 스크립트를 관찰했다고 말합니다.
Mandiant는 위협 행위자가 이러한 방식으로 ESXi 하이퍼바이저를 손상시킨 조직이 10개 미만임을 알고 있다고 말했습니다. 그러나 더 많은 사고가 발생할 것으로 예상하고 보안 공급업체는 보고서에서 다음과 같이 경고했습니다. 유사한 기능 구축을 시작하기 위해 이 연구에 요약된 정보입니다.”
VMware는 VIB를 "파일 모음 배포를 용이하게 하기 위해 단일 아카이브로 패키지되었습니다.” 관리자가 가상 시스템을 관리하고 환경 전체에 사용자 지정 바이너리 및 업데이트를 배포하고 ESXi 시스템 다시 시작 시 시작 작업 및 사용자 지정 방화벽 규칙을 생성하는 데 도움이 되도록 설계되었습니다.
까다로운 새 전술
VMware는 VIB에 대해 소위 XNUMX가지 허용 수준을 지정했습니다. VMware에서 생성, 테스트 및 서명한 VMwareCertified VIB 승인된 VMware 파트너가 생성하고 서명한 VMwareAccepted VIB 신뢰할 수 있는 VMware 파트너의 파트너 지원 VIB VMware 파트너 프로그램 외부의 개인 또는 파트너가 생성한 CommunitySupported VIB. CommunitySupported VIB는 VMware 또는 파트너가 테스트하거나 지원하지 않습니다.
ESXi 이미지가 생성되면 이러한 허용 수준 중 하나가 할당된다고 Mandiant는 말했습니다. "이미지에 추가된 모든 VIB는 동일한 허용 수준 이상이어야 합니다."라고 보안 벤더가 말했습니다. "이는 ESXi 이미지를 생성하고 유지 관리할 때 지원되지 않는 VIB가 지원되는 VIB와 섞이지 않도록 하는 데 도움이 됩니다."
VIB에 대한 VMware의 기본 최소 허용 수준은 PartnerSupported입니다. 그러나 관리자는 레벨을 수동으로 변경하고 VIB를 설치할 때 프로파일이 최소 허용 레벨 요구 사항을 무시하도록 강제할 수 있다고 Mandiant는 말했습니다.
Mandiant가 관찰한 사고에서 공격자는 먼저 CommunitySupport 수준의 VIB를 생성한 다음 VIB가 PartnerSupported인 것처럼 보이도록 설명자 파일을 수정하여 이 사실을 유리하게 사용한 것으로 보입니다. 그런 다음 VIB 사용과 관련된 소위 강제 플래그 매개변수를 사용하여 대상 ESXi 하이퍼바이저에 악성 VIB를 설치했습니다. Marvi는 강제 매개변수가 관리자에게 최소 VIB 수락 요구 사항을 재정의할 수 있는 방법을 제공한다는 점을 고려할 때 약점으로 간주되어야 하는지 여부를 묻는 질문에 VMware에 Dark Reading을 지적했습니다.
작전 보안 실패?
VMware 대변인은 이 문제가 약점이라고 부인했습니다. 회사는 이 강제 명령을 비활성화하기 때문에 Secure Boot를 권장한다고 그녀는 말합니다. "공격자는 강제 명령을 실행하기 위해 ESXi에 대한 전체 액세스 권한이 있어야 했으며 이 명령을 비활성화하려면 Secure Boot의 두 번째 보안 계층이 필요합니다."라고 그녀는 말합니다.
그녀는 또한 조직에서 VIB가 변조되었을 수 있는 시기를 식별할 수 있는 메커니즘을 사용할 수 있다고 언급합니다. VMWare가 Mandiant의 보고서와 동시에 게시한 블로그 게시물에서 VMware는 공격을 다음과 같이 식별했습니다. 운영 보안 취약점의 결과일 가능성이 높습니다. 피해자 단체 측에서. 이 회사는 조직이 VIB 오용 및 기타 위협으로부터 보호하기 위해 환경을 구성할 수 있는 구체적인 방법을 설명했습니다.
VMware는 조직에서 보안 부팅, 신뢰할 수 있는 플랫폼 모듈 및 호스트 증명을 구현하여 소프트웨어 드라이버 및 기타 구성 요소를 검증할 것을 권장합니다. VMware는 "Secure Boot가 활성화되면 'CommunitySupported' 허용 수준의 사용이 차단되어 공격자가 서명되지 않고 부적절하게 서명된 VIB를 설치하지 못하도록 합니다(보고서에 명시된 대로 -force 매개변수를 사용하는 경우에도 마찬가지임)"라고 VMware는 말했습니다.
회사는 또한 조직이 강력한 패치 및 수명 주기 관리 관행을 구현하고 VMware Carbon Black Endpoint 및 VMware NSX 제품군과 같은 기술을 사용하여 워크로드를 강화해야 한다고 말했습니다.
Mandiant는 또한 29월 XNUMX일에 별도의 두 번째 블로그 게시물을 게시했습니다. 조직이 위협을 감지하는 방법 그들이 관찰한 것과 이에 대비하여 ESXi 환경을 강화하는 방법과 같은 것입니다. 방어 수단 중에는 네트워크 격리, 강력한 ID 및 액세스 관리, 적절한 서비스 관리 관행이 있습니다.
Vulcan Cyber의 수석 기술 엔지니어인 Mike Parkin은 이번 공격이 공격자가 지속성을 유지하고 표적 환경에서 자신의 입지를 확장할 수 있는 매우 흥미로운 기술을 보여준다고 말했습니다. "일반적인 범죄 APT 그룹이 배포하는 것과 비교하여 자원이 풍부한 국가 또는 국가 지원 위협이 사용하는 것과 비슷해 보입니다."라고 그는 말합니다.
Parkin은 회사의 권장 구성 및 업계 모범 사례를 사용하여 배포할 때 VMware 기술이 매우 강력하고 탄력적일 수 있다고 말합니다. “그러나 위협 행위자가 관리 자격 증명으로 로그인하면 상황이 훨씬 더 어려워집니다. 공격자로서 뿌리를 내릴 수 있다면 말하자면 왕국의 열쇠를 가진 것입니다.”
