New malware backdoors VMware ESXi servers to hijack virtual machines

ハッカーは、VMware ESXi ハイパーバイザーで永続性を確立して、検出を回避しながら Windows および Linux の vCenter サーバーと仮想マシンを制御する新しい方法を発見しました。

攻撃者は、悪意のある vSphere インストール バンドルを利用して、研究者が VirtualPita と VirtualPie と名付けた 2 つのバックドアをベアメタル ハイパーバイザーにインストールすることができました。

研究者は、ドロッパーとペイロードを含む、VirtualGate と呼ばれる独自のマルウェア サンプルも発見しました。

信頼を欺く

今年初めのインシデント対応業務で、サイバー脅威インテリジェンス企業 Mandiant ( Google が買収) のセキュリティ研究者は、中国と関係があると疑われる攻撃者が、悪意のある vSphere インストール バンドル (VIB) を使用して VirtualPita および VirtualPie マルウェアを配信したことを発見しました。

VIB は、ESXi イメージを作成または維持するためのファイルのパッケージです。管理者は、起動タスク、ファイアウォール ルールを作成するか、マシンの再起動時にバイナリを実行することによって、ESXi インストールの動作を管理できます。

VIB パッケージには以下が含まれます。

  • 通常、ホストにインストールする必要がある「ペイロード」ファイルと呼ばれるアーカイブ
  • VIB 要件、依存関係、互換性の問題、インストールするペイロード、名前、インストール日に関する情報を含む XML 記述子
  • VIB の作成者とそれに関連する信頼レベルを検証する署名ファイル

VIB は、VMware (会社によって作成およびテストされます)、承認されたパートナー、またはコミュニティ (個人やサードパーティ パートナーなど、VMware プログラムを通じて承認されたソースではありません) によって作成されます。

インシデントの調査中に、Mandiant は、UNC3886 として追跡されている脅威アクターが、攻撃で使用された VBI の XML 記述子の許容レベルを「コミュニティ」から「パートナー」に変更して、調べている人をだますことを発見しました。

UNC3886 - 悪意のある VIB ファイル内の変更された XML 記述子
UNC3886 – 悪意のある VIB ファイル内の変更された XML 記述子
出典: マンディアント

変更された信頼レベルは、ESXi システムがデフォルトで受け入れるのに十分ではありませんが、攻撃者は「–force」フラグを使用して悪意のある VIB をインストールしました。

しかし、詳しく調べてみると、偽造された VIB が明らかになり、署名ファイルが VMware によって信頼された関係者に関連付けられないことが示されました。

これらのトリックを使用して、攻撃者は侵害した ESXi マシンに VirtualPita および VirtualPie マルウェアをインストールすることができました。

「VIRTUALPITA は、VMware ESXi サーバーのハードコードされたポート番号にリスナーを作成する 64 ビットのパッシブ バックドアです」と Mandiant は今日のレポートで述べています。

研究者は、バックドアが VMware のサービス名とポートを使用して正規のサービスになりすますことが多いと付け加えました。任意のコマンドの実行、ファイルのアップロードとダウンロード、およびロギング メカニズム (「vmsyslogd」) の開始と停止が可能です。

調査中に、VirtualPita の Linux の亜種が Linux vCenter システムのinit.dスタートアップ サービスとして永続的に存在し、正当なバイナリksmdの名前で隠れていることが判明しました。

VirtualPie は Python ベースであり、VMware ESXi サーバーのハードコードされたポートでデーモン化された IPv6 リスナーを生成します。任意のコマンド ラインの実行をサポートし、ファイルを転送し、リバース シェルを設定できます。

感染したハイパーバイザーの下にある Windows ゲスト仮想マシンで、研究者は別のマルウェア VirtualGate を発見しました。これには、VM 上の第 2 段階の DLL ペイロードを解読するメモリのみのドロッパーが含まれています。

ESXi マシンに対する UNC3886 攻撃
ESXi マシンに対する UNC3886 攻撃
出典: マンディアント

この攻撃では、攻撃者がハイパーバイザーに対して管理者レベルの権限を持っている必要があります。これによりリスクが軽減されているように見えるかもしれませんが、攻撃者は被害者のネットワークに潜み、貴重な資産に到達する機会や存在を拡大する機会を待ち望んでいます。

本日の別のブログ投稿で、 Mandiant は、防御側が悪意のある VIB を検出することで ESXi ホストの攻撃面を最小限に抑える方法に関する技術的な詳細を提供しています。