Исследователи выявили, что злоумышленники используют SSH-туннелирование через гипервизоры VMware ESXi для маскировки и последующего внедрения программ-вымогателей на целевые устройства. Такие атаки заканчиваются инфекциями программ-вымогателей. Эксперты предложили методы поиска индикаторов компрометации.
Киберпреступники используют возможность SSH-туннелирования на bare metal гипервизорах ESXi, чтобы оставаться незаметными и помочь развернуть вымогательское ПО на целевых устройствах. Об этом предупреждают эксперты в области кибербезопасности из компании Sygnia. В их докладе подчеркивается, что злонамеренные акторы атакуют виртуализированную инфраструктуру, в частности устройства VMware ESXi — гипервизоры корпоративного уровня, позволяющие запускать несколько виртуальных машин на одном физическом сервере.
Эти устройства предназначены для максимизации использования ресурсов, упрощения управления серверами и повышения масштабируемости с помощью абстракции оборудования. Поэтому они считаются критически важными в центрах обработки данных, облачных инфраструктурах и решениях виртуализации. ESXi предлагает функцию туннелирования, позволяющую пользователям безопасно перенаправлять сетевой трафик между локальной машиной и узлом ESXi через зашифрованное SSH-соединение. Этот метод часто используется для доступа к сервисам или интерфейсам управления на узле ESXi, которые иначе недоступны из-за сетевых ограничений или межсетевых экранов.
Атака в тишине
Исследователи отмечают, что устройства ESXi относительно незащищённые с точки зрения кибербезопасности, поэтому они становятся популярной целью для злоумышленников, стремящихся компрометировать корпоративную инфраструктуру. Из-за своей недооцененности эти устройства могут быть использованы злоумышленниками незаметно.
Для взлома устройства преступники могут использовать известные уязвимости или входить с помощью скомпрометированных паролей администратора. «После получения доступа к устройству настройка туннеля становится простой задачей с использованием встроенной функции SSH или внедрением других инструментов с аналогичными возможностями», — утверждают исследователи. «Так как устройства ESXi устойчивы к перезагрузкам, такое туннелирование служит полупостоянной задней дверью в сети.»
Усугубляет ситуацию то, что логи, являющиеся основой любой системы мониторинга безопасности, сложнее отслеживать по сравнению с другими системами. Согласно информации от Sygnia, ESXi распределяет логи по нескольким специализированным файлам, что требует от IT-специалистов и судебных аналитиков сочетания информации из разных источников.
Тем не менее, исследователи рекомендуют IT-специалистам обратить внимание на четыре конкретных лог-файла для выявления возможной активности SSH-туннелирования.
Источник: TechRadar
