针对Ivanti零时差漏洞攻击事故,资安组织MITRE揭露黑客滥用VMware虚拟化平台的细节
支付動態 · 2024-05-24

上个月资安组织MITRE证实今年1月遭遇Ivanti零时差漏洞攻击,当中提及黑客操弄受害网络环境的VMware虚拟化平台来埋藏行踪,现在他们将攻击手法的细节公诸于世,让IT人员能够察觉、防范这类新兴威胁

资安机构MITRE先后于4月19日、5月3日,针对他们1月遭遇Ivanti零时差漏洞攻击的事故,公布黑客攻击的手法、事件发生的过程,以及过程中使用的后门程序、Shell Code等作案工具。当时他们曾透露攻击者入侵该组织用于研究、开发、原型设计的协作网络环境「网络实验、研究及虚拟化环境(NERVE)」时,借由VMware虚拟化平台来维持在该环境当中活动,现在该机构进一步说明相关细节。

该资安机构指出,对方通过Ivanti零时差漏洞成功入侵NERVE后,先是对VMware vCenter植入后门程序BrickStorm,以及名为BeeFlush的Web Shell,然后通过另外2个称为WireFire、BushWalk的Web Shell来窃取数据。

但究竟对方如何隐匿相关攻击行踪?MITRE指出,黑客在企图滥用虚拟化环境之前,已得到ESXi基础架构的管理权限。

黑客借由系统服务帐号,产生用于攻击行动的虚拟机(VM),这么做的目的,就是让管理者无法从vCenter管理主控台察觉这些VM的存在。

接着,他们在今年1月5日,操纵这些VM并使用外流的管理者帐号,对于整个基础设施进行控制。对方也在vCenter服务器的Tomcat组件中,植入以JSP打造称为BeeFlush的Web Shell,目的是运行以Python为基础的隧道工具,使得黑客创建的VM,能与ESXi的管理程序能够进行SSH连接。

事隔2日,这些黑客存取VM并部署恶意酬载BrickStorm,值得留意的是,他们也滥用虚拟化平台的默认帐号Vpxuser,调用7个API,目的是进行侦察,盘点已挂载及未挂载的磁盘。

而对于黑客所使用的VM,还具备另一项特征,那就是这些VM具备两组网络界面,其中一种是用于连接互联网,以便接收C2通信;另一种则是与内部环境的子网络进行连接。

该组织表示,这代表IT人员通过vCenter集中管理主控台来管理VM,很有可能难以察觉攻击者的行为,对此,MITRE提供相关的检测方式,并公布两款能扫描这类威胁的脚本工具,它们分别是:由MITRE打造的Invoke-HiddenVMQuery,以及资安业者CrowdStrike开发的VirtualGHOST。

热门文章
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
BETFAIR 网络攻击80万用户资料泄露
游戏风向
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
英国确认各垂直行业的赌博税税率
游戏风向
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
首页
游戏
合作
发现
我的