Sygnia: вымогатели атакуют Bare-metal гипервизоры ESXi
NewsMakerЛишь тщательный мониторинг логов может спасти от потери данных.
Хакеры, нацеленные на Bare-metal гипервизоры ESXi , используют туннелирование SSH для сохранения доступа к системе и обхода обнаружения. Эти устройства играют критическую роль в виртуализированных средах, позволяя запускать на одном физическом сервере множество виртуальных машин.
Из-за низкого уровня мониторинга гипервизоры ESXi часто становятся объектами атак. Злоумышленники, проникнув в корпоративную сеть, крадут данные и шифруют файлы, фактически парализуя работу компании, делая виртуальные машины недоступными.
Согласно отчёту компании Sygnia , компрометация гипервизоров часто достигается путём эксплуатации известных уязвимостей или использования скомпрометированных учётных данных администраторов. ESXi имеет встроенный SSH-сервис, позволяющий администраторам удалённо управлять гипервизором. Эту функцию злоумышленники используют для организации устойчивого доступа, перемещения по сети и внедрения программ-вымогателей.
Sygnia отмечает, что злоумышленники устанавливают туннели с помощью встроенной функциональности SSH или популярных инструментов, предоставляющих схожие возможности. Пример команды для настройки перенаправления порта:
Важным фактором успеха атак является сложность мониторинга логов ESXi. В отличие от большинства систем, где логи хранятся в одном файле, ESXi распределяет их по нескольким местам. Это усложняет поиск улик, поскольку данные нужно собирать из множества источников. Для обнаружения активности злоумышленников Sygnia рекомендует проверять следующие файлы:
Для повышения безопасности рекомендуется централизовать логи ESXi с помощью пересылки syslog и интеграции их в систему управления событиями безопасности ( SIEM ) для выявления аномалий.
Хакеры, нацеленные на Bare-metal гипервизоры ESXi , используют туннелирование SSH для сохранения доступа к системе и обхода обнаружения. Эти устройства играют критическую роль в виртуализированных средах, позволяя запускать на одном физическом сервере множество виртуальных машин.
Из-за низкого уровня мониторинга гипервизоры ESXi часто становятся объектами атак. Злоумышленники, проникнув в корпоративную сеть, крадут данные и шифруют файлы, фактически парализуя работу компании, делая виртуальные машины недоступными.
Согласно отчёту компании Sygnia , компрометация гипервизоров часто достигается путём эксплуатации известных уязвимостей или использования скомпрометированных учётных данных администраторов. ESXi имеет встроенный SSH-сервис, позволяющий администраторам удалённо управлять гипервизором. Эту функцию злоумышленники используют для организации устойчивого доступа, перемещения по сети и внедрения программ-вымогателей.
Sygnia отмечает, что злоумышленники устанавливают туннели с помощью встроенной функциональности SSH или популярных инструментов, предоставляющих схожие возможности. Пример команды для настройки перенаправления порта:
ssh –fN -R 127.0.0.1:<порт SOCKS> <пользователь>@ «ESXi-устройства редко перезагружаются неожиданно, что позволяет использовать такой туннель как полупостоянную точку входа в сеть», — объясняет Sygnia. Важным фактором успеха атак является сложность мониторинга логов ESXi. В отличие от большинства систем, где логи хранятся в одном файле, ESXi распределяет их по нескольким местам. Это усложняет поиск улик, поскольку данные нужно собирать из множества источников. Для обнаружения активности злоумышленников Sygnia рекомендует проверять следующие файлы:
- /var/log/shell.log — отслеживает выполнение команд в оболочке ESXi;
- /var/log/hostd.log — фиксирует административные действия и аутентификацию пользователей;
- /var/log/auth.log — регистрирует попытки входа и события аутентификации;
- /var/log/vobd.log — хранит системные и информационные события безопасности.
Для повышения безопасности рекомендуется централизовать логи ESXi с помощью пересылки syslog и интеграции их в систему управления событиями безопасности ( SIEM ) для выявления аномалий.