Les acteurs de ransomware ciblant les hyperviseurs ESXi bare metal exploitent le tunneling SSH pour persister sur le système tout en restant non détectés.
Les appliances VMware ESXi jouent un rôle essentiel dans les environnements virtualisés car elles peuvent s’exécuter sur un seul serveur physique sur plusieurs machines virtuelles d’une organisation.
Ils sont en grande partie non surveillés et ont été la cible de pirates informatiques cherchant à accéder aux réseaux d’entreprise où ils peuvent voler des données et crypter des fichiers, paralysant ainsi toute une entreprise en rendant toutes les machines virtuelles inaccessibles.
La société de cybersécurité Sygnia rapporte que dans de nombreux cas, la compromission est obtenue en exploitant des failles connues ou en utilisant des informations d’identification d’administrateur compromises.
Se connecter à l’hyperviseur
ESXi dispose d’un service SSH intégré qui permet aux administrateurs de gérer à distance l’hyperviseur via un shell.
Sygnia affirme que les acteurs des ransomwares abusent de cette fonctionnalité pour établir la persistance, se déplacer latéralement et déployer des charges utiles de ransomware. Étant donné que de nombreuses organisations ne surveillent pas activement l’activité ESXi SSH, les attaquants peuvent l’utiliser furtivement.
“Une fois que [les pirates sont] sur l’appareil, la configuration du tunneling est une tâche simple en utilisant la fonctionnalité SSH native ou en déployant d’autres outils courants dotés de capacités similaires”, explique Sygnia.
“Par exemple, en utilisant le binaire SSH, une redirection de port distant vers le serveur C2 peut être facilement configurée à l’aide de la commande suivante: ssh-fN-R 127.0.0.1: < SOCKS port> < user>@ ”
« Étant donné que les appliances ESXi sont résilientes et s’arrêtent rarement de manière inattendue, ce tunneling sert de porte dérobée semi-persistante au sein du réseau.”
Lacunes dans l’exploitation forestière
Sygnia met également en évidence les défis liés à la surveillance des journaux ESXi, qui entraînent des lacunes de visibilité importantes dont les acteurs des ransomwares savent tirer parti.
Contrairement à la plupart des systèmes où les journaux sont consolidés dans un seul fichier syslog, ESXi distribue les journaux sur plusieurs fichiers journaux dédiés, de sorte que la recherche de preuves nécessite de rassembler des informations provenant de plusieurs sources.
La société de sécurité suggère aux administrateurs système d’examiner ces quatre fichiers journaux pour détecter les activités de tunneling SSH et de ransomware:
- /var/journal / interpréteur de commandes.journal → Suivi de l’exécution des commandes dans ESXi Shell
- /var / journal / hôte.journal → Enregistre les activités administratives et l’authentification des utilisateurs
- /var / journal / authentification.journal → Capture les tentatives de connexion et les événements d’authentification
- /var / journal / vobd.journal → Stocke les journaux des événements système et de sécurité
L’hôte.journal et vodb.les journaux sont susceptibles de contenir également des traces de modification des règles du pare-feu, ce qui est essentiel pour autoriser l’accès SSH persistant.
Il convient de noter que les acteurs des ransomwares effacent souvent les journaux pour effacer les preuves d’accès SSH, modifient les horodatages ou tronquent les journaux pour semer la confusion chez les enquêteurs, de sorte que la recherche de preuves n’est pas toujours simple.
En fin de compte, il est recommandé aux organisations de centraliser les journaux ESXi via le transfert syslog et d’intégrer les journaux dans un système de gestion des informations et des événements de sécurité (SIEM) pour détecter les anomalies.