Crédit : Dreamstime
Les scientifiques ont identifié un nouveau foyer de logiciels malveillants qui a été développé pour soutenir porte et crée une détermination sur les serveurs VMware ESXi en tirant parti des performances légitimes prises en charge par le logiciel hyperviseur.
Selon les chercheurs de Mandiant qui ont découvert et évalué les portes dérobées, elles ont été conditionnées et publiées sur des serveurs infectés en tant que packages de configuration vSphere (VIB). Les VIB sont des plans logiciels utilisés pour disperser les composants qui étendent les performances de VMware ESXi.
Les VIB nuisibles offraient aux pirates des capacités d’exécution et de persistance de commandes à distance sur les serveurs et la possibilité d’exécuter des commandes sur les créateurs virtuels invités opérant sur le serveurs.
Les pirates ont utilisé des VIB non signés difficiles à trouver
Par défaut, VMware ESXi est configuré pour accepter uniquement la configuration des VIB certifiés VMWare, VmwareAccepted ou PartnerSupported. À ces niveaux d’approbation, les bundles doivent être signés numériquement par VMware ou un partenaire dont VMware approuve la signature.
Cependant, il existe un quatrième niveau d’approbation appelé CommunitySupported et les VIB de cette catégorie ne nécessitent pas être signé numériquement. L’inconvénient est que ces packages doivent être déployés par un administrateur en utilisant intentionnellement l’indicateur–force sur la commande setup via l’outil de ligne de commande esxcli.
Les VIB nuisibles découverts par Mandiant avaient leur fichier manifeste personnalisé pour noter « partenaire » comme niveau d’approbation, mais en réalité n’avait pas de signature numérique et avait en fait été déployé en utilisant le – commandement de la force. Cela implique que les agresseurs disposaient déjà d’un accès de niveau administratif aux serveurs avant de les déployer. Il s’agissait d’une charge utile de stade avancé.
L’un des résultats de la liste « partenaire » comme source dans le manifeste des VIB escrocs était qu’ils semblaient répertoriés comme PartnerSupported lorsque la commande « esxcli software vib list » était utilisée alors qu’en fait ils ne l’étaient pas.
Cet oubli dans la commande qui affiche simplement ce que le manifeste indique, a aidé les attaquants à mieux cacher leurs portes dérobées aux administrateurs. Pour les trouver, les administrateurs auraient dû utiliser la commande « esxcli software vib signature validate » qui aurait confirmé la signature numérique de tous les VIB déployés sur leurs serveurs.
Les attaquants ont déployé à la fois l’hyperviseur et portes dérobées de machines virtuelles
En plus d’un fichier manifeste et d’un fichier de signature, les VIB incluent une collection de fichiers et de sites de répertoires qui seront copiés sur le système. L’un de ces fichiers était une porte dérobée passive qui utilisait les noms de service VMware pour se dissimuler et écoutait le trafic sur un numéro de port codé en dur sur le serveur ESXi.
La porte dérobée, nommée VIRTUALPITA peut exécuter des commandes arbitraires, charger et télécharger des fichiers, et démarrer et arrêter vmsyslogd, le service ESXi responsable de la journalisation des messages du noyau du système et d’autres composants.
« Lors de l’exécution approximative de la commande, le logiciel malveillant définit également la variable écologique HISTFILE à 0 pour dissimuler davantage l’activité qui s’est produite sur la machine », ont déclaré les scientifiques de Mandiant.
« Des versions de ce logiciel malveillant ont été découvertes pour écouter sur une interface de communication de machine virtuelle (VMCI) et enregistrer cette activité dans le fichier sysclog. » Le VMware VMCI est l’interface d’interaction à grande vitesse à travers laquelle les fabricants virtuels communiquent avec le noyau hôte.
2 échantillons de VIRTUALPITA découverts sur les systèmes Linux vCenter déguisés en services de démarrage dans init.d — un début -up sous Linux– et leur nom de fichier était camouflé en ksmd (Kernel Same-Page Merging Daemon), un service du noyau par défaut, dans les répertoires/ usr/libexec/setconf/ et/ usr/bin.
Les scientifiques ont également découvert une porte dérobée secondaire dans les VIB malveillants qu’ils ont baptisés VIRTUALPIE. Ce programme de porte dérobée a été composé en Python et écoutait le trafic IPv6 sur le port 546. Les assaillants pourraient utiliser cette porte dérobée pour exécuter des commandes arbitraires, transférer des fichiers et ouvrir un shell inversé. Les interactions via le port ont été effectuées via un protocole personnalisé qui utilisait le cryptage RC4.
Certaines attaques comprenaient une troisième porte dérobée baptisée VIRTUALGATE qui a été écrite pour Windows et a été publiée sur les périphériques virtuels invités qui s’exécutaient sur le serveurs ESXi compromis. Cette porte dérobée permet aux adversaires d’exécuter des commandes sur la machine virtuelle invitée à partir de l’hyperviseur ou entre différents créateurs virtuels invités opérant sur le même hôte via le VMCI.
Les scientifiques ont observé des agresseurs utilisant VIRTUALPITA pour exécuter un script shell qui a publié un script Python qui a ensuite exécuté des commandes sur des machines virtuelles invitées. Sur les machines virtuelles, les commandes ont été exécutées par le service VMware Tools légitime (vmtoolsd.exe).
Dans un cas, les commandes impliquaient de répertorier les fichiers de répertoires spécifiques, puis de les emballer sous forme d’archives de taxi et dans un autre cas, les agresseurs a utilisé l’utilitaire MiniDump pour disposer de la mémoire d’une procédure et y rechercher des qualifications en clair.
Mandiant n’a connecté ces attaques à aucun groupe reconnu, il les suit donc sous un tout nouvel identifiant de groupe appelé UNC3886 . « Compte tenu de la nature extrêmement ciblée et évasive de cette intrusion, nous soupçonnons que la motivation de l’UNC3886 est liée au cyberespionnage », ont déclaré les chercheurs. « En outre, nous évaluons avec une faible confiance en soi que l’UNC3886 a un lien avec la Chine. »
Bien qu’il n’y ait pas encore beaucoup d’événements où le logiciel malveillant VIB a été utilisé pour compromettre les serveurs ESXi, Mandiant s’attend à ce que d’autres groupes de menaces copient cela. technique à l’avenir.
VMware conseille de rendre possible le démarrage sécurisé UEFI
VMware a en fait publié un avis en réaction aux conclusions de Mandiant avec un PowerShell script qui peut être utilisé pour rechercher des VIB destructeurs dans un environnement. La principale suggestion est d’activer UEFI Secure Boot sur le système, qui fournit une attestation cryptographique des éléments dès le début du processus de démarrage.
« Lorsque Secure Boot est rendu possible d’utiliser l’approbation ‘CommunitySupported’ niveau sera bloqué, empêchant les attaquants d’installer des VIB anonymes et mal signés (même avec la spécification de la force comme cela est rappelé dans le rapport) », déclare VMware dans son assistance.
« vSphere 8 prend un autre étape et empêche l’exécution de fichiers binaires non signés ou de fichiers binaires configurés via des méthodes autres qu’un VIB correctement signé. Les efforts pour désactiver cette fonctionnalité par les ennemis génèrent des alarmes ESXi incontournables comme des indices que quelque chose se passe dans un environnement. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
