Neue Malware öffnet Hintertüren zu VMware ESXi-Servern, um virtuelle Maschinen zu kapern

Quelle: mandiant.com (Englisch)

Hacker haben eine neue Methode gefunden, um eine Persistenz auf VMware ESXi-Hypervisoren zu etablieren, um vCenter-Server und virtuelle Maschinen für Windows und Linux zu kontrollieren und dabei eine Entdeckung zu vermeiden.

Mit Hilfe von bösartigen vSphere-Installationspaketen konnten die Angreifer auf dem Bare-Metal-Hypervisor zwei Hintertüren installieren, die von den Forschern VirtualPita und VirtualPie genannt wurden.

Die Forscher entdeckten auch ein einzigartiges Malware-Muster, das sie VirtualGate nannten und das einen Dropper und eine Nutzlast enthält.

Bei einem Einsatz zur Reaktion auf einen Vorfall Anfang des Jahres fanden Sicherheitsforscher des Cyber-Bedrohungsforschungsunternehmens Mandiant (von Google übernommen) heraus, dass ein Akteur, der vermutlich Verbindungen zu China hat, bösartige vSphere Installation Bundles (VIBs) verwendet, um die Malware VirtualPita und VirtualPie zu verbreiten.

Ein VIB ist ein Paket von Dateien zur Erstellung oder Pflege eines ESXi-Abbilds. Es ermöglicht dem Administrator, das Verhalten der ESXi-Installation zu steuern, indem er Startaufgaben und Firewall-Regeln erstellt oder Binärdateien beim Neustart des Rechners ausführt.

Das VIB-Paket umfasst Folgendes:

  • ein Archiv, in der Regel als "Payload"-Dateien bezeichnet, die auf dem Host installiert werden müssen
  • einen XML-Deskriptor mit Informationen über die VIB-Anforderungen, Abhängigkeiten, Kompatibilitätsprobleme, zu installierende Nutzdaten, Name und Installationsdatum
  • eine Signaturdatei, die den Hersteller der VIB und den damit verbundenen Vertrauensgrad verifiziert

VIBs können von VMware (vom Unternehmen erstellt und getestet), von zugelassenen Partnern oder von der Community (keine vom VMware-Programm akzeptierte Quelle, wie z. B. Einzelpersonen oder Drittpartner) erstellt werden.

Bei der Untersuchung des Vorfalls stellte Mandiant fest, dass der als UNC3886 verfolgte Bedrohungsakteur die Akzeptanzstufe im XML-Deskriptor für die bei dem Angriff verwendete VBI von "Community" in "Partner" änderte, um jeden zu täuschen, der sich damit befasste.

Eine geänderte Vertrauensebene reicht nicht aus, damit das ESXi-System sie standardmäßig akzeptiert, aber der Angreifer nutzte auch die Option "--force", um die bösartigen VIBs zu installieren.

Bei näherer Betrachtung wurde die gefälschte VIB jedoch offensichtlich und zeigte, dass die Signaturdatei nicht mit einer von VMware vertrauenswürdigen Partei in Verbindung gebracht werden konnte.

Mit diesen Tricks konnte der Bedrohungsakteur die VirtualPita- und VirtualPie-Malware auf dem kompromittierten ESXi-Rechner installieren.

"VIRTUALPITA ist eine passive 64-Bit-Backdoor, die auf einem VMware ESXi-Server einen Listener auf einer fest kodierten Portnummer erstellt", so Mandiant in einem [Bericht] (http://www.mandiant.com/resources/blog/esxi-hypervisors-malware-persistence) von heute.

Die Forscher fügten hinzu, dass sich die Backdoor oft als legitimer Dienst ausgibt, indem sie VMware-Dienstnamen und -Ports verwendet. Sie ermöglicht die Ausführung beliebiger Befehle, das Hoch- und Herunterladen von Dateien sowie das Starten und Stoppen des Protokollierungsmechanismus ('vmsyslogd').

Während der Untersuchung wurde eine Linux-Variante von VirtualPita gefunden, die als init.d-Startdienst auf Linux vCenter-Systemen persistent ist und sich unter dem Namen des legitimen Binärprogramms ksmd versteckt.

VirtualPie basiert auf Python und erzeugt einen daemonisierten IPv6-Listener auf einem fest kodierten Port auf einem VMware ESXi-Server. Er unterstützt die Ausführung beliebiger Befehle über die Befehlszeile, kann Dateien übertragen und eine Reverse Shell einrichten.

Auf virtuellen Windows-Gastmaschinen unter dem infizierten Hypervisor fanden die Forscher eine weitere Malware, VirtualGate, die einen Nur-Speicher-Dropper enthält, der eine DLL-Nutzlast der zweiten Stufe auf der VM deobfuskiert.

Für diesen Angriff muss der Angreifer über Administratorrechte für den Hypervisor verfügen. Auch wenn dies das Risiko zu verringern scheint, lauern Angreifer oft im Netzwerk des Opfers und warten auf eine Gelegenheit, um auf wertvolle Ressourcen zuzugreifen oder ihre Präsenz auszuweiten.


0 Comments: