登录

会员权益

获取需求

查看名片

专属客服

尊贵标识

VIP低至1.5U/天

针对Ivanti零时差漏洞攻击事故,资安组织MITRE揭露黑客滥用VMware虚拟化平台的细节

分享

支付動態

2024-05-24

上个月资安组织MITRE证实今年1月遭遇Ivanti零时差漏洞攻击,当中提及黑客操弄受害网络环境的VMware虚拟化平台来埋藏行踪,现在他们将攻击手法的细节公诸于世,让IT人员能够察觉、防范这类新兴威胁

资安机构MITRE先后于4月19日、5月3日,针对他们1月遭遇Ivanti零时差漏洞攻击的事故,公布黑客攻击的手法、事件发生的过程,以及过程中使用的后门程序、Shell Code等作案工具。当时他们曾透露攻击者入侵该组织用于研究、开发、原型设计的协作网络环境「网络实验、研究及虚拟化环境(NERVE)」时,借由VMware虚拟化平台来维持在该环境当中活动,现在该机构进一步说明相关细节。

该资安机构指出,对方通过Ivanti零时差漏洞成功入侵NERVE后,先是对VMware vCenter植入后门程序BrickStorm,以及名为BeeFlush的Web Shell,然后通过另外2个称为WireFire、BushWalk的Web Shell来窃取数据。

但究竟对方如何隐匿相关攻击行踪?MITRE指出,黑客在企图滥用虚拟化环境之前,已得到ESXi基础架构的管理权限。

黑客借由系统服务帐号,产生用于攻击行动的虚拟机(VM),这么做的目的,就是让管理者无法从vCenter管理主控台察觉这些VM的存在。

接着,他们在今年1月5日,操纵这些VM并使用外流的管理者帐号,对于整个基础设施进行控制。对方也在vCenter服务器的Tomcat组件中,植入以JSP打造称为BeeFlush的Web Shell,目的是运行以Python为基础的隧道工具,使得黑客创建的VM,能与ESXi的管理程序能够进行SSH连接。

事隔2日,这些黑客存取VM并部署恶意酬载BrickStorm,值得留意的是,他们也滥用虚拟化平台的默认帐号Vpxuser,调用7个API,目的是进行侦察,盘点已挂载及未挂载的磁盘。

而对于黑客所使用的VM,还具备另一项特征,那就是这些VM具备两组网络界面,其中一种是用于连接互联网,以便接收C2通信;另一种则是与内部环境的子网络进行连接。

该组织表示,这代表IT人员通过vCenter集中管理主控台来管理VM,很有可能难以察觉攻击者的行为,对此,MITRE提供相关的检测方式,并公布两款能扫描这类威胁的脚本工具,它们分别是:由MITRE打造的Invoke-HiddenVMQuery,以及资安业者CrowdStrike开发的VirtualGHOST。

免责声明:
详情
HUIDU.io

GROWTH DRIVEN GLOBAL PTE. LTD. 202618650K

101 THOMSON ROAD, #28-03A, UNITED SQUARE, SINGAPORE 307591

Copyright 2026 HuiDu