Атаки на ESXi: новые угрозы и стратегии защиты

Атаки на ESXi: новые угрозы и стратегии защиты

Источник: www.sygnia.co

В последние годы атаки программ-вымогателей ESXi всё чаще нацелены на виртуализированные инфраструктуры, что связано с важной ролью этих устройств в современных организациях. Хакеры стремятся получить доступ к образам виртуальных машин и зашифровать их, тем самым нарушая бизнес-процессы и нанося ущерб репутации пострадавших организаций.

Современные тактики хакеров

Чтобы оставаться незамеченными, группы программ-вымогателей усовершенствовали свои тактики. Основные методы, используемые хакерами:

  • Использование устройств ESXi в качестве механизмов сохранения данных.
  • Вход в корпоративные сети через SSH-туннелирование.
  • Создание SOCKS-туннеля для подключения к законному трафику.

Эти атаки подчеркивают необходимость внедрения эффективных стратегий защиты устройств ESXi от возникающих угроз.

Методы компрометации устройств ESXi

Хакеры используют различные способы компрометации устройств ESXi, включая:

  • Эксплуатацию известных уязвимостей.
  • Использование учетных данных администратора.

Оказавшись на устройстве, они настраивают туннелирование по SSH, что создает полупостоянный бэкдор в сети, позволяющий им осуществлять вредоносные действия с низким уровнем обнаруживаемости.

Проблемы с ведением журналов

Механизм ведения журнала на устройствах ESXi распределяет записи по нескольким выделенным файлам, что усложняет криминалистические расследования. Необходимость получения информации из различных источников делает процесс мониторинга и анализа значительно более сложным.

Рекомендации по улучшению безопасности

Для упрощения мониторинга журналов и централизованного сбора всех важных событий в одном месте рекомендуется настроить переадресацию журналов на внешний сервер системного журнала. Это позволит:

  • Централизованно отслеживать действия на сервере ESXi.
  • Облегчить хранение и анализ журналов.

Настройка переадресации системного журнала

Настройка переадресации системного журнала на удаленный сервер в ESXi включает:

  • Настройку хоста журнала.
  • Перезагрузку конфигурации системного журнала.
  • Включение трафика системного журнала через брандмауэр.

Выводы

Перенаправляя ключевые файлы журналов в централизованное хранилище, специалисты по безопасности могут лучше обнаруживать и расследовать вредоносные действия, связанные с методами SSH-туннелирования на устройствах ESXi. Общие действия и сообщения, обнаруживаемые в файлах системного журнала, могут свидетельствовать о потенциальной вредоносной активности и требовать дальнейшего расследования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: