29 月 XNUMX 日,在 Mandiant 报告检测到中国的威胁行为者使用令人不安的新技术在 ESXi 虚拟机管理程序上安装多个持久后门之后,VMware 于 XNUMX 月 XNUMX 日为其 vSphere 虚拟化技术的客户发布了紧急的新缓解措施和指南。
Mandiant 观察到的技术涉及威胁参与者(跟踪为 UNC3886)使用恶意 vSphere 安装包 (VIB) 将其恶意软件潜入目标系统。 为此,攻击者需要 ESXi 管理程序的管理员级权限。 但没有证据表明他们需要利用 VMware 产品中的任何漏洞来部署恶意软件,Mandiant 说。
广泛的恶意能力
后门,其中 Mandiant 将 VIRTUALPITA 和 VIRTUALPIE 命名为,使攻击者能够进行一系列恶意活动。 这包括保持对 ESXi 管理程序的持久管理员访问权限; 通过管理程序向来宾 VM 发送恶意命令; 在 ESXi 管理程序和来宾计算机之间传输文件; 篡改日志服务; 并在同一管理程序上的 VM 来宾之间执行任意命令。
“使用恶意软件生态系统,攻击者可以远程访问管理程序并发送将在来宾虚拟机上执行的任意命令,”Mandiant 的安全顾问 Alex Marvi 说。 “Mandiant 观察到的后门 VIRTUALPITA 和 VIRTUALPIE 允许攻击者自己交互访问管理程序。 它们允许攻击者将命令从主机传递给客户机。”
Marvi 说 Mandiant 观察到一个单独的 Python 脚本,指定要运行哪些命令以及在哪台客户机上运行它们。
Mandiant 表示,它知道只有不到 10 个组织的威胁行为者以这种方式设法破坏了 ESXi 虚拟机管理程序。 但预计会有更多事件浮出水面,安全供应商在其报告中警告说:“虽然我们注意到 UNC3886 使用的技术需要对 ESXi 操作系统和 VMware 的虚拟化平台有更深入的了解,但我们预计其他各种威胁参与者将使用这项研究中概述的信息开始建立类似的能力。”
VMware 将 VIB 描述为“文件集合 打包成一个档案,以方便分发。” 它们旨在帮助管理员管理虚拟系统、在整个环境中分发自定义二进制文件和更新,并在 ESXi 系统重新启动时创建启动任务和自定义防火墙规则。
棘手的新战术
VMware 为 VIB 指定了四个所谓的接受级别: VMware 创建、测试和签名的 VMwareCertified VIB; VMwareAccepted VIB 由经批准的 VMware 合作伙伴创建和签署; 来自受信任的 VMware 合作伙伴的合作伙伴支持的 VIB; 由 VMware 合作伙伴计划之外的个人或合作伙伴创建的社区支持的 VIB。 社区支持的 VIB 未经 VMware 或合作伙伴测试或支持。
Mandiant 说,创建 ESXi 映像时,会为其分配其中一种接受程度。 “添加到映像中的任何 VIB 都必须处于相同或更高的接受水平,”安全供应商说。 “这有助于确保在创建和维护 ESXi 映像时,不受支持的 VIB 不会与受支持的 VIB 混在一起。”
VMware 对 VIB 的默认最低接受级别是 PartnerSupported。 但管理员可以手动更改级别并强制配置文件在安装 VIB 时忽略最低接受级别要求,Mandiant 说。
在 Mandiant 观察到的事件中,攻击者似乎利用了这一事实,首先创建了一个 CommunitySupport 级别的 VIB,然后修改其描述符文件,使其看起来该 VIB 是 PartnerSupported。 然后,他们使用与 VIB 使用相关的所谓强制标志参数在目标 ESXi 虚拟机管理程序上安装恶意 VIB。 当被问及是否应该将 force 参数视为一个弱点时,Marvi 将 Dark Reading 指向 VMware,因为它为管理员提供了一种覆盖最低 VIB 接受要求的方法。
操作安全失效?
VMware 的一位女发言人否认这个问题是一个弱点。 她说,该公司推荐 Secure Boot,因为它禁用了这个强制命令。 “攻击者必须拥有对 ESXi 的完全访问权限才能运行强制命令,并且需要安全启动中的第二层安全性才能禁用此命令,”她说。
她还指出,有一些机制可以让组织识别 VIB 何时可能被篡改。 在 VMWare 与 Mandiant 的报告同时发布的一篇博文中,VMware 将这些攻击确定为 可能是操作安全漏洞的结果 在受害组织方面。 该公司概述了组织可以配置其环境以防止 VIB 滥用和其他威胁的具体方法。
VMware 建议组织实施安全引导、可信平台模块和主机证明来验证软件驱动程序和其他组件。 “启用安全启动后,将阻止使用'CommunitySupported'接受级别,从而防止攻击者安装未签名和未正确签名的VIB(即使使用报告中提到的-force参数),”VMware说。
该公司还表示,组织应实施强大的补丁和生命周期管理实践,并使用其 VMware Carbon Black Endpoint 和 VMware NSX 套件等技术来强化工作负载。
Mandiant 还在 29 月 XNUMX 日发表了另一篇单独的博客文章,详细介绍了 组织如何检测威胁 就像他们观察到的一样,以及如何针对他们强化 ESXi 环境。 防御措施包括网络隔离、强大的身份和访问管理以及适当的服务管理实践。
Vulcan Cyber 的高级技术工程师 Mike Parkin 表示,这次攻击展示了一种非常有趣的技术,攻击者可以保持持久性并扩大其在目标环境中的存在。 “它看起来更像是资源充足的国家或国家支持的威胁会使用的东西,而不是常见的犯罪 APT 组织会部署的东西,”他说。
Parkin 表示,当使用公司推荐的配置和行业最佳实践进行部署时,VMware 技术可以非常强大且具有弹性。 “然而,当威胁参与者使用管理凭据登录时,事情变得更具挑战性。 作为攻击者,如果你能获得root权限,你就拥有了王国的钥匙,可以这么说。”
