Mandiant, VMware und US-CERT warnen vor Malware, die auf VMware ESXi Server zielt

Sicherheit (Pexels, allgemeine Nutzung)[English]Der von Google übernommene Sicherheitsanbieter Mandiant ist auf eine neue Malware-Familie (VirtualPITA, VirtualPIE und VirtualGATE) gestoßen, die es auf Virtualisierunglösungen wie VMware ESXi Server abgesehen hat und spezialisierte Techniken zum Eindringen verwendet. VMware hat einen entsprechenden Sicherheitshinweis veröffentlicht, und das US-CERT warnt ebenfalls vor dieser Malware.


Anzeige

US-CERT-Warnung

Das US-CERT weist in nachfolgendem Tweet darauf hin, dass Thread-Aktoren eine spezielle Malware, bekannt als VirtualPITA, VirtualPIE und VirtualGATE, verwenden, um dauerhaften Zugriff auf ESXi-Instanzen zu erhalten.

 US-CERT warns about malware, addressing VMware ESXi Server

Die Entdeckung von Mandiant

Anfang dieses Jahres hat Mandiant ein neuartiges Malware-Ökosystem identifiziert, das sich auf VMware ESXi, Linux vCenter-Server und virtuelle Windows-Maschinen auswirkt und es einem Bedrohungsakteur ermöglicht, die folgenden Aktionen durchzuführen:

  • Dauerhafter administrativer Zugriff auf den Hypervisor
  • Senden von Befehlen an den Hypervisor, die zur Ausführung an die Gast-VM weitergeleitet werden
  • Übertragen von Dateien zwischen dem ESXi-Hypervisor und den darunter ausgeführten Gastcomputern
  • Eingriffe in die Protokollierungsdienste des Hypervisors
  • Ausführen beliebiger Befehle von einer Gast-VM zu einer anderen Gast-VM, die auf demselben Hypervisor läuft

Mandiant stieß auf diese Malware, als ein kompromittiertes System untersucht und nachgeschaut wurde, wie die Angreifer eindringen konnten. Mandiant fand heraus, dass ein Angreifer Befehle von dem legitimen VMware Tools-Prozess vmtoolsd.exe auf einer virtuellen Windows-Maschine abschicken konnte. Diese virtuelle Maschine wurde auf einem VMware ESXi-Hypervisor. Mandiant analysierte das Boot-Profil für die ESXi-Hypervisoren und identifizierte eine noch nie dagewesene Technik, bei der ein Bedrohungsakteur bösartige vSphere Installation Bundles ("VIBs") nutzte, um mehrere Backdoors auf den ESXi-Hypervisoren zu installieren.

Letztendlich konnte Mandiant zwei neue Malware-Familien identifizieren, die über bösartige vSphere Installation Bundles (VIBs) installiert werden. Mandiant nannte diese Hintertüren VIRTUALPITA und VIRTUALPIE.

VMware VIBs sind Sammlungen von Dateien, die die Softwareverteilung und die Verwaltung virtueller Systeme erleichtern sollen. Da ESXi ein In-Memory-Dateisystem verwendet, werden Dateibearbeitungen nicht über Neustarts hinweg gespeichert. Ein VIB-Paket kann zum Erstellen von Startaufgaben, benutzerdefinierten Firewall-Regeln oder zur Bereitstellung benutzerdefinierter Binärdateien beim Neustart einer ESXi-Maschine verwendet werden.

Diese VIB-Pakete (Beschreibung über XML-Dateien) werden in der Regel von Administratoren verwendet, um Aktualisierungen bereitzustellen und Systeme zu warten. Dieser Angreifer nutzte die Pakete jedoch als Persistenzmechanismus, um den Zugriff über ESXi-Hypervisoren hinweg aufrechtzuerhalten. Mandiant beschreibt die Details im Blog-Beitrag Bad VIB(E)s Part One: Investigating Novel Malware Persistence Within ESXi Hypervisors vom 29. September 2022.

VMware veröffentlich Support-Artikel

VMware hat inzwischen den Support-Beitrag Protecting vSphere From Specialized Malware zu diesem Sachverhalt veröffentlicht. Dort finden sich ergänzende Hinweise zum Angriff und was man gegen diese Art Malware tun kann. Weiterhin wurde von VMware speziell für die im Mandiant-Bericht beschriebenen Techniken eine Anleitung zur Abschwächung und Erkennung entwickelt. Diese Anleitung findet sich im VMware Knowledge Base 89619 – Mitigation and Threat Hunting Guidance for Unsigned vSphere Installation Bundles (VIBs) in ESXi. Der Knowledge Base-Artikel enthält auch ein Erkennungsskript zur Automatisierung des Prozesses der Überprüfung einer Umgebung.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Virtualisierung abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.