专家们在VMware ESXi虚拟机监视器中发现了新的恶意软件

美国麦迪安网路安全公司详述了恶意软件作者用来在VMware ESXi虚拟机监视器中实现管理访问并接管Windows和Linux的vCenter服务器和虚拟机以执行以下操作的新技术：

· 将命令发送到将路由到来宾VM以执行的虚拟机管理程序

· 在ESXi管理程序和在其下运行的来宾计算机之间传输文件

· 对虚拟机管理程序的日志服务进行篡改

· 从一个来宾VM执行任意命令到运行在同一虚拟机管理程序上的另一个来宾VM。

这次袭击的高度针对性和规避性，导致专家们认为，这次袭击是由一个与中国有联系的黑客所策划的网络间谍活动进行的，被追踪为UNC3886。

在美国麦迪安网路安全公司调查的攻击中，黑客依靠恶意的vSphere Installation Bundles ( ‘ VIBs ‘)在ESXi虚拟机管理程序上安装两个后门，被追踪为VIRTUALPITA和VIRTUALPIE。VIB是设计用于管理虚拟系统的文件集合，可用于创建启动任务、自定义防火墙规则或在ESXi计算机重新启动时部署自定义二进制文件。

该恶意软件生态系统最初是在入侵调查期间检测到的，当时美国麦迪安网路安全公司在VMware ESXi虚拟机管理程序上识别了来自合法VMware Tools进程vmtoolsd.exe的攻击者命令。美国麦迪安网路安全公司分析了ESXi虚拟机管理程序的引导配置文件，并确定了一种前所未有的技术，其中威胁参与者利用恶意vSphere Installation Bundles ( ‘ VIBs ‘)在ESXi虚拟机管理程序上安装多个后门。我们将这些后门称为VIRTUALPITA和VIRTUALPIE。

专家指出，攻击者在部署恶意软件之前需要对ESXi管理程序拥有管理员级别的权限。专家们并不知道零日漏洞被用来获得初始访问权限或部署恶意VIB。

 VIB由：

 · 一个XML描述符文件

 ·  ” VIB载荷” ( . vgz归档)

 · 一个签名文件——用于验证VIB主机接受水平的数字签名

  · XML描述符文件是一个配置文件，其中包含对以下内容的引用：

 · 要安装的有效载荷

 · VIB元数据，如名称和安装日期

 · 属于VIB的签名文件

美国麦迪安网路安全公司研究人员发现，攻击者能够将VBI的XML描述符中的接受级别从”社区”修改为”伙伴”，使其看起来是由一个受信任的实体创建的。

尽管攻击者在Descriptor XML中修改了接受级别字段，但ESXi系统仍然不允许在最小设置的接受级别下安装伪造的VIB文件。为了避免这种情况，攻击者滥用- force标志来安装恶意的Community Supported VIB。

攻击者使用此技术在受损的ESXi机器上安装VirtualPita和VirtualPie后门。

VIRTUALPITA是一个64位被动后门，可在VMware ESXi服务器上的硬编码端口号上创建侦听器，该恶意软件支持任意命令执行。VIRTUALPIE是一个轻量级的Python后门，支持任意命令行执行、文件传输能力和反向Shell功能。

研究人员还发现了一个独特的恶意软件样本，被追踪为Virtual Gate，其中包括一个滴管和一个有效载荷。恶意代码由受感染的虚拟机管理程序托管。

“虽然我们注意到UNC3886使用的技术需要对ESXi操作系统和VMWare的虚拟化平台有更深的理解，但我们预计其他各种威胁参与者将使用本研究中概述的信息开始构建类似的功能。”报告总结道。美国麦迪安网路安全公司建议使用ESXi和VMware基础架构套件的组织遵循本博文中概述的加固步骤，以最小化ESXi主机的攻击面。”