Forscher entdecken Hacker, die VMware ESXi’s SSH-Tunneling bei Angriffen nutzen

Die Kampagnen enden mit Ransomware-Infektionen

Forscher schlagen Möglichkeiten vor, nach Hinweisen auf Kompromittierung zu suchen

Cyberkriminelle nutzen die SSH-Tunneling-Funktionalität auf ESXi-Bare-Metal-Hypervisoren für heimliche Persistenz, um ihnen bei der Bereitstellung von Ransomware auf Zielpunkten zu helfen, warnen Experten.

Cybersicherheitsforscher von Sygnia haben hervorgehoben, wie Ransomware-Akteure die virtualisierte Infrastruktur ins Visier nehmen, insbesondere VMware ESXi-Appliances, Enterprise-Grade-Bare-Metal-Hypervisoren, die zur Virtualisierung von Hardware verwendet werden und es ermöglichen, mehrere virtuelle Maschinen auf einem einzelnen physischen Server auszuführen.

Sie sind darauf ausgelegt, die Ressourcennutzung zu maximieren, die Serververwaltung zu vereinfachen und die Skalierbarkeit zu verbessern, indem sie die zugrunde liegende Hardware abstrahieren. Als solche gelten sie als unverzichtbar in Rechenzentren, Cloud-Infrastrukturen und Virtualisierungslösungen und bieten eine Tunneling-Funktion, die es Benutzern ermöglicht, Netzwerkverkehr sicher zwischen einer lokalen Maschine und dem ESXi-Host über eine verschlüsselte SSH-Verbindung weiterzuleiten. Diese Methode wird häufig verwendet, um auf Dienste oder Verwaltungsschnittstellen auf dem ESXi-Host zuzugreifen, die aufgrund von Netzwerkbeschränkungen oder Firewalls anderweitig nicht erreichbar wären.

Angriffe im Stillen

Die Forscher sagen, dass ESXi-Appliances aus cybersicherheitlicher Sicht relativ vernachlässigt werden und daher ein beliebtes Ziel für Bedrohungsakteure sind, die darauf abzielen, Unternehmensinfrastrukturen zu kompromittieren. Da sie nicht so genau überwacht werden, können Hacker sie heimlich nutzen. Um in die Appliance einzudringen, würden Ganoven entweder bekannte Schwachstellen ausnutzen oder sich mit kompromittierten Admin-Passwörtern anmelden. „Einmal auf dem Gerät, ist das Einrichten des Tunnelings mit der nativen SSH-Funktionalität oder durch Bereitstellung anderer gebräuchlicher Tools mit ähnlichen Funktionen eine einfache Aufgabe“, sagten die Forscher. „Da ESXi-Appliances widerstandsfähig sind und selten unerwartet heruntergefahren werden, dient dieses Tunneling als halbpermanente Hintertür im Netzwerk.“ Um die Dinge zu verschlimmern, sind Protokolle (die Grundlage jeder Sicherheitsüberwachung) nicht so einfach zu verfolgen wie bei anderen Systemen. Nach Angaben von Sygnia verteilt ESXi Protokolle auf mehrere dedizierte Dateien, was bedeutet, dass IT-Profis und forensische Analysten Informationen aus verschiedenen Quellen kombinieren müssen. Dennoch sollten IT-Profis laut den Forschern vier spezifische Protokolldateien überprüfen, um mögliche SSH-Tunneling-Aktivitäten zu erkennen.

Via BleepingComputer

Weitere ähnliche Artikel
BlackByte-Ransomware zurück mit neuen Taktiken, zielt auf VMware ESXi ab
Hier ist eine Liste der besten Firewalls von heute
Dies sind die besten Endpunktsicherheitstools im Moment