资安机构MITRE先后于4月19日、5月3日,针对他们1月遭遇Ivanti零时差漏洞攻击的事故,公布黑客攻击的手法、事件发生的过程,以及过程中使用的后门程序、Shell Code等作案工具。当时他们曾透露攻击者入侵该组织用于研究、开发、原型设计的协作网络环境「网络实验、研究及虚拟化环境(NERVE)」时,借由VMware虚拟化平台来维持在该环境当中活动,现在该机构进一步说明相关细节。
该资安机构指出,对方通过Ivanti零时差漏洞成功入侵NERVE后,先是对VMware vCenter植入后门程序BrickStorm,以及名为BeeFlush的Web Shell,然后通过另外2个称为WireFire、BushWalk的Web Shell来窃取数据。
但究竟对方如何隐匿相关攻击行踪?MITRE指出,黑客在企图滥用虚拟化环境之前,已得到ESXi基础架构的管理权限。
黑客借由系统服务帐号,产生用于攻击行动的虚拟机(VM),这么做的目的,就是让管理者无法从vCenter管理主控台察觉这些VM的存在。
接着,他们在今年1月5日,操纵这些VM并使用外流的管理者帐号,对于整个基础设施进行控制。对方也在vCenter服务器的Tomcat组件中,植入以JSP打造称为BeeFlush的Web Shell,目的是运行以Python为基础的隧道工具,使得黑客创建的VM,能与ESXi的管理程序能够进行SSH连接。
事隔2日,这些黑客存取VM并部署恶意酬载BrickStorm,值得留意的是,他们也滥用虚拟化平台的默认帐号Vpxuser,调用7个API,目的是进行侦察,盘点已挂载及未挂载的磁盘。
而对于黑客所使用的VM,还具备另一项特征,那就是这些VM具备两组网络界面,其中一种是用于连接互联网,以便接收C2通信;另一种则是与内部环境的子网络进行连接。
该组织表示,这代表IT人员通过vCenter集中管理主控台来管理VM,很有可能难以察觉攻击者的行为,对此,MITRE提供相关的检测方式,并公布两款能扫描这类威胁的脚本工具,它们分别是:由MITRE打造的Invoke-HiddenVMQuery,以及资安业者CrowdStrike开发的VirtualGHOST。



2024-05-24
