資安機構MITRE先後於4月19日、5月3日,針對他們1月遭遇Ivanti零時差漏洞攻擊的事故,公布駭客攻擊的手法、事件發生的過程,以及過程中使用的後門程式、Shell Code等作案工具。當時他們曾透露攻擊者入侵該組織用於研究、開發、原型設計的協作網路環境「網路實驗、研究及虛擬化環境(NERVE)」時,藉由VMware虛擬化平臺來維持在該環境當中活動,現在該機構進一步說明相關細節。
該資安機構指出,對方透過Ivanti零時差漏洞成功入侵NERVE後,先是對VMware vCenter植入後門程式BrickStorm,以及名為BeeFlush的Web Shell,然後透過另外2個稱為WireFire、BushWalk的Web Shell來竊取資料。
但究竟對方如何隱匿相關攻擊行蹤?MITRE指出,駭客在企圖濫用虛擬化環境之前,已得到ESXi基礎架構的管理權限。
駭客藉由系統服務帳號,產生用於攻擊行動的虛擬機器(VM),這麼做的目的,就是讓管理者無法從vCenter管理主控臺察覺這些VM的存在。
接著,他們在今年1月5日,操縱這些VM並使用外流的管理者帳號,對於整個基礎設施進行控制。對方也在vCenter伺服器的Tomcat元件中,植入以JSP打造稱為BeeFlush的Web Shell,目的是執行以Python為基礎的隧道工具,使得駭客建立的VM,能與ESXi的管理程式能夠進行SSH連線。
事隔2日,這些駭客存取VM並部署惡意酬載BrickStorm,值得留意的是,他們也濫用虛擬化平臺的預設帳號Vpxuser,呼叫7個API,目的是進行偵察,盤點已掛載及未掛載的磁碟。
而對於駭客所使用的VM,還具備另一項特徵,那就是這些VM具備兩組網路介面,其中一種是用於連接網際網路,以便接收C2通訊;另一種則是與內部環境的子網路進行連線。
該組織表示,這代表IT人員透過vCenter集中管理主控臺來管理VM,很有可能難以察覺攻擊者的行為,對此,MITRE提供相關的檢測方式,並公布兩款能掃描這類威脅的指令碼工具,它們分別是:由MITRE打造的Invoke-HiddenVMQuery,以及資安業者CrowdStrike開發的VirtualGHOST。
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07