Атаки на ESXi: новые угрозы и стратегии защиты

Источник: www.sygnia.co
В последние годы атаки программ-вымогателей ESXi всё чаще нацелены на виртуализированные инфраструктуры, что связано с важной ролью этих устройств в современных организациях. Хакеры стремятся получить доступ к образам виртуальных машин и зашифровать их, тем самым нарушая бизнес-процессы и нанося ущерб репутации пострадавших организаций.
Современные тактики хакеров
Чтобы оставаться незамеченными, группы программ-вымогателей усовершенствовали свои тактики. Основные методы, используемые хакерами:
- Использование устройств ESXi в качестве механизмов сохранения данных.
- Вход в корпоративные сети через SSH-туннелирование.
- Создание SOCKS-туннеля для подключения к законному трафику.
Эти атаки подчеркивают необходимость внедрения эффективных стратегий защиты устройств ESXi от возникающих угроз.
Методы компрометации устройств ESXi
Хакеры используют различные способы компрометации устройств ESXi, включая:
- Эксплуатацию известных уязвимостей.
- Использование учетных данных администратора.
Оказавшись на устройстве, они настраивают туннелирование по SSH, что создает полупостоянный бэкдор в сети, позволяющий им осуществлять вредоносные действия с низким уровнем обнаруживаемости.
Проблемы с ведением журналов
Механизм ведения журнала на устройствах ESXi распределяет записи по нескольким выделенным файлам, что усложняет криминалистические расследования. Необходимость получения информации из различных источников делает процесс мониторинга и анализа значительно более сложным.
Рекомендации по улучшению безопасности
Для упрощения мониторинга журналов и централизованного сбора всех важных событий в одном месте рекомендуется настроить переадресацию журналов на внешний сервер системного журнала. Это позволит:
- Централизованно отслеживать действия на сервере ESXi.
- Облегчить хранение и анализ журналов.
Настройка переадресации системного журнала
Настройка переадресации системного журнала на удаленный сервер в ESXi включает:
- Настройку хоста журнала.
- Перезагрузку конфигурации системного журнала.
- Включение трафика системного журнала через брандмауэр.
Выводы
Перенаправляя ключевые файлы журналов в централизованное хранилище, специалисты по безопасности могут лучше обнаруживать и расследовать вредоносные действия, связанные с методами SSH-туннелирования на устройствах ESXi. Общие действия и сообщения, обнаруживаемые в файлах системного журнала, могут свидетельствовать о потенциальной вредоносной активности и требовать дальнейшего расследования.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



